यूएस साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी - सीआईएसए फॉर शॉर्ट - ने कमजोरियों की शीर्ष सूची बनाई है जो कि पीपुल्स रिपब्लिक ऑफ चाइना में राज्य-प्रायोजित साइबर अभिनेताओं द्वारा सक्रिय रूप से उपयोग की जाती हैं। क्रिटिकल इन्फ्रास्ट्रक्चर (KRITIS) की सभी कंपनियों और ऑपरेटरों को सूची पर ध्यान देना चाहिए।
इस संयुक्त साइबर सुरक्षा सलाहकार (CSA) में 2020 के बाद से पीपुल्स रिपब्लिक ऑफ चाइना (PRC) के राज्य-प्रायोजित साइबर अभिनेताओं द्वारा शोषण की जाने वाली प्रमुख सामान्य कमजोरियाँ और जोखिम (CVE) शामिल हैं। मूल्यांकन संयुक्त रूप से राष्ट्रीय सुरक्षा एजेंसी (NSA), साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (CISA) और संघीय जांच ब्यूरो (FBI) द्वारा किया गया था। चीन के राज्य-प्रायोजित कर्ता बौद्धिक संपदा की चोरी करने और संवेदनशील नेटवर्क तक पहुंच हासिल करने के लिए दुनिया भर में अमेरिका और संबद्ध नेटवर्क और सॉफ्टवेयर और हार्डवेयर कंपनियों को सक्रिय रूप से लक्षित करने के लिए इन ज्ञात कमजोरियों का फायदा उठाना जारी रखते हैं।
साइबर सुरक्षा सलाहकार कमजोरियों को सूचीबद्ध करता है
यह संयुक्त सीएसए संघीय और राज्य, स्थानीय, जनजातीय और क्षेत्रीय (एसएलटीटी) सरकारों को सूचित करने के लिए पिछले एनएसए, सीआईएसए और एफबीआई रिपोर्टों पर आधारित है। रक्षा औद्योगिक आधार क्षेत्र और निजी क्षेत्र के संगठनों सहित महत्वपूर्ण बुनियादी ढांचा संचालकों को भी रुझानों, रणनीति, तकनीकों और प्रक्रियाओं (टीटीपी) के बारे में सूचित किया जाना चाहिए।
NSA, CISA, और FBI ने अमेरिका और संघीय सरकारों, महत्वपूर्ण बुनियादी ढाँचे और निजी क्षेत्र के संगठनों से आग्रह किया कि वे शमन अनुभाग में सिफारिशों को लागू करें और नीचे सूचीबद्ध करें ताकि VR राज्य-प्रायोजित साइबर अभिनेताओं द्वारा उत्पन्न खतरे को कम करने के लिए चीन को कम करने के लिए अपने साइबर सुरक्षा को मजबूत किया जा सके। .
अपनी वेबसाइट पर, सीआईएसए भेद्यताओं के और स्पष्टीकरणों को भी सूचीबद्ध करता है और कंपनियों और प्रशासकों को क्या उपाय करने चाहिए।
CISA.gov पर अधिक
सीएसए - कमजोरियों की साइबर सुरक्षा सलाहकार
| निर्माता | CVE | भेद्यता प्रकार |
|---|---|---|
| अपाचे Log4j | CVE-2021-44228 | दूरस्थ कोड निष्पादन |
| पल्स कनेक्ट सुरक्षित रूप से | CVE-2019-11510 | फाइलों का मनमाना पढ़ना |
| गिटलैब सीई/ईई | CVE-2021-22205 | दूरस्थ कोड निष्पादन |
| Atlassian | CVE-2022-26134 | दूरस्थ कोड निष्पादन |
| माइक्रोसॉफ्ट एक्सचेंज | CVE-2021-26855 | दूरस्थ कोड निष्पादन |
| F5 बड़ा आईपी | CVE-2020-5902 | दूरस्थ कोड निष्पादन |
| वीएमवेयर वीसेंटर सर्वर | CVE-2021-22005 | कोई फ़ाइल अपलोड |
| सिट्रिक्स एडीसी | CVE-2019-19781 | पथ ट्रैवर्सल |
| सिस्को हाइपरफ्लेक्स | CVE-2021-1497 | कमांड लाइन निष्पादन |
| भैंस WSR | CVE-2021-20090 | सापेक्ष पथ ट्रैवर्सल |
| एटलसियन कंफ्लुएंस सर्वर और डेटा सेंटर | CVE-2021-26084 | दूरस्थ कोड निष्पादन |
| हिकविजन वेब सर्वर | CVE-2021-36260 | कमांड इंजेक्शन |
| साइटकोर एक्सपी | CVE-2021-42237 | दूरस्थ कोड निष्पादन |
| F5 बड़ा आईपी | CVE-2022-1388 | दूरस्थ कोड निष्पादन |
| अपाचे | CVE-2022-24112 | प्रमाणीकरण स्पूफिंग के माध्यम से बाईपास |
| जोहो | CVE-2021-40539 | दूरस्थ कोड निष्पादन |
| माइक्रोसॉफ्ट | CVE-2021-26857 | दूरस्थ कोड निष्पादन |
| माइक्रोसॉफ्ट | CVE-2021-26858 | दूरस्थ कोड निष्पादन |
| माइक्रोसॉफ्ट | CVE-2021-27065 | दूरस्थ कोड निष्पादन |
| अपाचे HTTP सर्वर | CVE-2021-41773 | पथ ट्रैवर्सल |