2021 সালের নভেম্বরে, ইউএস সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) ফেডারেল এজেন্সি এবং সমালোচনামূলক অবকাঠামো সংস্থাগুলিকে সক্রিয়ভাবে শোষণ করা দুর্বলতাগুলি চিহ্নিত করতে এবং প্রতিকার করতে সহায়তা করার জন্য পরিচিত শোষিত দুর্বলতা (কেইভি) ক্যাটালগ প্রকাশ করেছে। CISA তার প্রথম-প্রথম “গ্রে নয়েজ অনুসারে জানুয়ারী থেকে নভেম্বর 548 এর শেষ পর্যন্ত 58টি আপডেট জুড়ে ক্যাটালগে 2022টি নতুন দুর্বলতা যুক্ত করেছে।GreyNoise গণ শোষণ প্রতিবেদন. "
অন্তর্ভুক্ত করা প্রায় 300টি দুর্বলতা নভেম্বর এবং ডিসেম্বর 2021 এ যোগ করা হয়েছে, CISA ক্যাটালগের অস্তিত্বের প্রথম বছরে প্রায় 850টি দুর্বলতা তালিকাভুক্ত করেছে।
2022 সালে KEV ক্যাটালগের আপডেটের অর্ধেকেরও বেশি মাইক্রোসফ্ট, Adobe, Cisco এবং Apple পণ্যগুলিতে সক্রিয়ভাবে শোষিত দুর্বলতা, গ্রে নয়েজ পাওয়া গেছে। KEV ক্যাটালগের 2022 শতাংশ আপডেটগুলি XNUMX সালের আগের পুরনো দুর্বলতা ছিল।
"আগের দুই দশকে অনেকগুলি প্রকাশিত হয়েছিল," গ্রে নয়েজের ডেটা সায়েন্সের ভাইস প্রেসিডেন্ট, বব রুডিস রিপোর্টে উল্লেখ করেছেন।
সাইবার সিকিউরিটি ওয়ার্কসের একটি দলের বিশ্লেষণ অনুসারে KEV ক্যাটালগের বেশ কিছু দুর্বলতা এমন পণ্য থেকে এসেছে যেগুলি ইতিমধ্যেই এন্ড-অফ-লাইফ (EOL) এবং এন্ড-অফ-সার্ভিস-লাইফ (EOSL) এ প্রবেশ করেছে। যদিও Windows Server 2008 এবং Windows 7 EOSL পণ্য, KEV ক্যাটালগ 127 সার্ভার 2008 দুর্বলতা এবং 117 Windows 7 দুর্বলতা তালিকাভুক্ত করে।
"তারা যে CISA KEV-এর একটি অংশ তা বেশ বলার মতো কারণ এটি নির্দেশ করে যে অনেক সংস্থা এখনও এই উত্তরাধিকার সিস্টেমগুলি ব্যবহার করছে এবং তাই আক্রমণকারীদের জন্য সহজ লক্ষ্যবস্তু হয়ে উঠেছে," CSW তার "CISA KEV ডিকোডিং”রিপোর্ট।
যদিও ক্যাটালগটি মূলত সমালোচনামূলক অবকাঠামো এবং পাবলিক-সেক্টরের সংস্থাগুলির জন্য তৈরি করা হয়েছিল, এটি এমন একটি প্রামাণিক উত্স হয়ে উঠেছে যার উপর দুর্বলতাগুলি আক্রমণকারীদের দ্বারা শোষিত - বা করা হয়েছে৷ এটি গুরুত্বপূর্ণ কারণ ন্যাশনাল ভালনারেবিলিটি ডেটাবেস (NVD) কমন অ্যাসাইন করেছে দুর্বলতা এবং এক্সপোজার (CVE) 12,000-এ 2022-এর বেশি দুর্বলতার জন্য শনাক্তকারী, এবং এন্টারপ্রাইজ ডিফেন্ডারদের জন্য তাদের পরিবেশের সাথে প্রাসঙ্গিকগুলি সনাক্ত করার জন্য প্রত্যেকের মূল্যায়ন করা অপ্রয়োজনীয় হবে। এন্টারপ্রাইজ দলগুলি তাদের অগ্রাধিকার তালিকা তৈরি করতে সক্রিয় আক্রমণের অধীনে CVE-এর ক্যাটালগের কিউরেটেড তালিকা ব্যবহার করতে পারে।
প্রকৃতপক্ষে, CSW যখন একটি CVE Numbering Authority (CNA), যেমন Mozilla বা MITRE, একটি দুর্বলতার জন্য একটি CVE বরাদ্দ করে এবং যখন NVD-তে দুর্বলতা যোগ করা হয়েছিল তখন এর মধ্যে কিছুটা বিলম্ব খুঁজে পেয়েছিল। উদাহরণস্বরূপ, Apple WebKitGTK (CVE-2019-8720) এর একটি দুর্বলতা অক্টোবর 2019-এ Red Hat থেকে একটি CVE প্রাপ্ত হয়েছে তা মার্চ মাসে KEV ক্যাটালগে যুক্ত করা হয়েছিল কারণ এটি BitPaymer ransomware দ্বারা শোষিত হয়েছিল। এটি নভেম্বরের প্রথম দিকে NVD-তে যোগ করা হয়নি (CSW এর রিপোর্টের জন্য কাটঅফ তারিখ)।
প্যাচিংকে অগ্রাধিকার দেওয়ার জন্য এনভিডির উপর নির্ভরশীল একটি সংস্থা সক্রিয় আক্রমণের অধীনে থাকা সমস্যাগুলি মিস করবে।
ক্যাটালগের ছত্রিশ শতাংশ দুর্বলতা হল রিমোট কোড এক্সিকিউশন ত্রুটি এবং 22% বিশেষাধিকার কার্যকরী ত্রুটি, CSW পাওয়া গেছে. CISA-এর KEV ক্যাটালগে 208টি দুর্বলতা ছিল যা ransomware গ্রুপের সাথে যুক্ত এবং 199টি APT গ্রুপ দ্বারা ব্যবহৃত হচ্ছে, CSW পাওয়া গেছে। একটি ওভারল্যাপ ছিল, পাশাপাশি, যেখানে 104টি দুর্বলতা র্যানসমওয়্যার এবং এপিটি গ্রুপ উভয়ের দ্বারা ব্যবহৃত হচ্ছে।
উদাহরণস্বরূপ, মাইক্রোসফ্ট সিলভারলাইটে (CVE-2013-3896) একটি মাঝারি-তীব্রতার তথ্য প্রকাশের দুর্বলতা 39টি র্যানসমওয়্যার গ্রুপের সাথে যুক্ত, CSW বলেছে। দ্য CSW থেকে একই বিশ্লেষণ দেখা গেছে যে অফিস নথি (CVE-2012-0158) দ্বারা ব্যবহৃত ListView/TreeView ActiveX কন্ট্রোলে একটি গুরুত্বপূর্ণ বাফার ওভারফ্লো দুর্বলতা এবং Microsoft Office (CVE-2017-11882) এ একটি উচ্চ-তীব্র মেমরি দুর্নীতির সমস্যা 23টি APT গ্রুপ দ্বারা শোষিত হচ্ছে 2022 সালের নভেম্বরে থ্রিপ এপিটি গ্রুপ (লোটাস ব্লসম/বিটারবাগ) দ্বারা সাম্প্রতিক সহ।
2022 সালের মার্চ মাসে স্পাইক হল ফেব্রুয়ারিতে রাশিয়া ইউক্রেন আক্রমণ করার ফলাফল - এবং আপডেটগুলিতে অনেকগুলি উত্তরাধিকার দুর্বলতা অন্তর্ভুক্ত ছিল যা জাতি-রাষ্ট্র অভিনেতারা ব্যবসা, সরকার এবং সমালোচনামূলক অবকাঠামো সংস্থাগুলিতে শোষণ করতে পরিচিত ছিল, গ্রে নয়েজ বলেছেন। মার্চ মাসে ক্যাটালগে যোগ করা দুর্বলতার বেশিরভাগ - 94% -কে 2022 সালের আগে একটি CVE বরাদ্দ করা হয়েছিল।
CISA শুধুমাত্র KEV ক্যাটালগ আপডেট করে যদি দুর্বলতা সক্রিয় শোষণের অধীনে থাকে, একটি বরাদ্দ করা CVE থাকে এবং কীভাবে সমস্যাটির প্রতিকার করা যায় সে সম্পর্কে স্পষ্ট নির্দেশনা রয়েছে। 2022 সালে, এন্টারপ্রাইজ ডিফেন্ডারদের প্রায় সাপ্তাহিক ভিত্তিতে KEV ক্যাটালগের একটি আপডেটের সাথে মোকাবিলা করতে হয়েছিল, একটি নতুন সতর্কতা সাধারণত প্রতি চার থেকে সাত দিনে জারি করা হয়, রুডিস লিখেছেন। ডিফেন্ডারদের আপডেটগুলির মধ্যে মাত্র একটি দিন থাকার সম্ভাবনা ছিল এবং 2022 সালে ডিফেন্ডারদের আপডেটগুলির মধ্যে দীর্ঘতম বিরতি ছিল 17 দিন।
