नवंबर 2021 में वापस, अमेरिकी साइबर सुरक्षा और अवसंरचना सुरक्षा एजेंसी (CISA) ने ज्ञात शोषित कमजोरियों (KEV) कैटलॉग को प्रकाशित किया ताकि संघीय एजेंसियों और महत्वपूर्ण बुनियादी ढांचा संगठनों को उन कमजोरियों की पहचान करने और उनका समाधान करने में मदद मिल सके जिनका सक्रिय रूप से शोषण किया जा रहा है। CISA ने अपने पहले “ग्रे नॉइज़” के अनुसार, जनवरी से नवंबर 548 के अंत तक 58 अपडेट में कैटलॉग में 2022 नई कमजोरियाँ जोड़ीं।ग्रेनॉइज़ मास एक्सप्लॉइट्स रिपोर्ट".
ये शामिल हैं लगभग 300 कमजोरियाँ नवंबर और दिसंबर 2021 में जोड़े गए, CISA ने कैटलॉग के अस्तित्व के पहले वर्ष में लगभग 850 कमजोरियों को सूचीबद्ध किया।
ग्रे नॉइज़ ने पाया कि 2022 में केईवी कैटलॉग के आधे से अधिक अपडेट के लिए Microsoft, Adobe, Cisco और Apple उत्पादों में सक्रिय रूप से शोषित कमजोरियों का हिसाब था। KEV कैटलॉग के सत्तर-सात प्रतिशत अद्यतन 2022 से पहले की पुरानी भेद्यताएँ थीं।
"कई पिछले दो दशकों में प्रकाशित हुए थे," रिपोर्ट में ग्रे नॉइज़ के डेटा साइंस के उपाध्यक्ष बॉब रुडिस ने कहा।
साइबर सिक्योरिटी वर्क्स की एक टीम के विश्लेषण के अनुसार, केईवी कैटलॉग में कई कमजोरियां उन उत्पादों से हैं जो पहले से ही एंड-ऑफ-लाइफ (ईओएल) और एंड-ऑफ-सर्विस-लाइफ (ईओएसएल) में प्रवेश कर चुके हैं। भले ही विंडोज सर्वर 2008 और विंडोज 7 ईओएसएल उत्पाद हैं, केईवी कैटलॉग 127 सर्वर 2008 कमजोरियों और 117 विंडोज 7 कमजोरियों को सूचीबद्ध करता है।
"तथ्य यह है कि वे सीआईएसए केईवी का एक हिस्सा हैं जो काफी कह रहे हैं क्योंकि यह इंगित करता है कि कई संगठन अभी भी इन विरासत प्रणालियों का उपयोग कर रहे हैं और इसलिए हमलावरों के लिए आसान लक्ष्य बन गए हैं," सीएसडब्ल्यू ने अपने "CISA KEV को डिकोड करनारिपोर्ट।
भले ही कैटलॉग मूल रूप से महत्वपूर्ण बुनियादी ढांचे और सार्वजनिक क्षेत्र के संगठनों के लिए अभिप्रेत था, यह आधिकारिक स्रोत बन गया है, जिस पर हमलावरों द्वारा भेद्यताएं हैं - या उनका शोषण किया गया है। यह महत्वपूर्ण है क्योंकि राष्ट्रीय भेद्यता डेटाबेस (एनवीडी) ने कॉमन को असाइन किया है भेद्यताएं और जोखिम (CVE) 12,000 में 2022 से अधिक भेद्यताओं के लिए पहचानकर्ता, और यह उद्यम रक्षकों के लिए अपने वातावरण के लिए प्रासंगिक लोगों की पहचान करने के लिए हर एक का आकलन करने के लिए अनिच्छुक होगा। एंटरप्राइज टीमें अपनी प्राथमिकता सूची बनाने के लिए सक्रिय हमले के तहत सीवीई की कैटलॉग की क्यूरेटेड सूची का उपयोग कर सकती हैं।
वास्तव में, सीएसडब्ल्यू को सीवीई नंबरिंग अथॉरिटी (सीएनए), जैसे कि मोज़िला या एमआईटीआरई, ने सीवीई को भेद्यता के लिए असाइन करने और जब भेद्यता को एनवीडी में जोड़ा गया था, के बीच थोड़ा विलंब पाया। उदाहरण के लिए, Apple WebKitGTK (CVE-2019-8720) में एक भेद्यता को अक्टूबर 2019 में Red Hat से CVE प्राप्त हुआ था, जिसे मार्च में KEV कैटलॉग में जोड़ा गया था क्योंकि BitPaymer Ransomware द्वारा इसका शोषण किया जा रहा था। इसे नवंबर की शुरुआत (सीएसडब्ल्यू की रिपोर्ट के लिए कटऑफ तारीख) तक एनवीडी में नहीं जोड़ा गया था।
पैचिंग को प्राथमिकता देने के लिए NVD पर निर्भर एक संगठन उन मुद्दों को याद करेगा जो सक्रिय हमले के अधीन हैं।
कैटलॉग में छत्तीस प्रतिशत कमजोरियां रिमोट कोड निष्पादन दोष हैं और 22% विशेषाधिकार निष्पादन दोष हैं, CSW पाया गया। सीएसडब्ल्यू ने पाया कि रैंसमवेयर समूहों से जुड़े सीआईएसए के केईवी कैटलॉग में 208 भेद्यताएं थीं और एपीटी समूहों द्वारा 199 का उपयोग किया जा रहा था। एक ओवरलैप भी था, जहां रैंसमवेयर और एपीटी समूहों दोनों द्वारा 104 कमजोरियों का उपयोग किया जा रहा था।
उदाहरण के लिए, Microsoft सिल्वरलाइट (CVE-2013-3896) में एक मध्यम-गंभीरता सूचना प्रकटीकरण भेद्यता 39 रैंसमवेयर समूहों से जुड़ी है, CSW ने कहा। सीएसडब्ल्यू से एक ही विश्लेषण पाया गया कि Office दस्तावेज़ों (CVE-2012-0158) द्वारा उपयोग किए जाने वाले ListView/TreeView ActiveX नियंत्रणों में एक महत्वपूर्ण बफर ओवरफ़्लो भेद्यता और Microsoft Office (CVE-2017-11882) में एक उच्च-गंभीरता स्मृति भ्रष्टाचार समस्या का 23 APT समूहों द्वारा शोषण किया जा रहा है , हाल ही में नवंबर 2022 में थ्रिप एपीटी समूह (लोटस ब्लॉसम/बिटरबग) द्वारा शामिल है।
ग्रे नॉइज़ ने कहा कि मार्च 2022 में स्पाइक फरवरी में रूस द्वारा यूक्रेन पर हमला करने का परिणाम है - और अपडेट में कई विरासत कमजोरियां शामिल हैं, जो राष्ट्र-राज्य अभिनेताओं को व्यवसायों, सरकारों और महत्वपूर्ण बुनियादी ढांचा संगठनों में शोषण के लिए जाना जाता था। विशाल बहुमत – 94% – मार्च में कैटलॉग में जोड़ी गई कमजोरियों को 2022 से पहले एक सीवीई सौंपा गया था।
CISA KEV कैटलॉग को केवल तभी अपडेट करता है जब भेद्यता सक्रिय शोषण के तहत होती है, एक असाइन किया गया CVE होता है, और इस मुद्दे को दूर करने के लिए स्पष्ट मार्गदर्शन होता है। रुडिस ने लिखा, 2022 में, उद्यम रक्षकों को लगभग साप्ताहिक आधार पर केईवी कैटलॉग के अपडेट से निपटना पड़ा, आमतौर पर हर चार से सात दिनों में एक नया अलर्ट जारी किया जाता है। रक्षकों को अपडेट के बीच सिर्फ एक दिन होने की संभावना थी, और 2022 में अपडेट के बीच रक्षकों का सबसे लंबा ब्रेक 17 दिनों का था।
