CISA fordert Bundesbehörden zur Behebung kritischer Sicherheitslücken innerhalb von drei Tagen

Exploit Automation – Kann ein Angreifer die Ausnutzungsschritte vollständig automatisieren?

Technical Impact – Gewährt die Ausnutzung dem Angreifer die vollständige oder nur teilweise Kontrolle über das Asset? Das CISA veröffentlicht über sein Vulnrichment-Programm die Daten zum KEV-Status, zur Exploit Automation sowie zum technischen Impact für jede CVE.

Die Behörden bewerten die öffentliche Zugänglichkeit selbstständig unter Verwendung der vom CISA herausgegebenen Internet Exposure Reduction Guidance. Zeitplan für die Minderung (Tabelle 1; Quelle: CISA) Die Dringlichkeit der Behebung skaliert direkt mit der Anzahl der Hochrisiko-Kriterien, die eine Schwachstelle erfüllt.

Sicherheitslage und Risiko

Gemäß Tabelle 1 der Richtlinie muss eine Schwachstelle, die öffentlich bekanntgegeben ist, im KEV-Katalog aufgeführt ist, werden kann und vollständige Systemkontrolle gewährt, innerhalb; dies ist mit einer obligatorischen forensischen Erstuntersuchung zur Klärung zu verbinden, ob das System bereits kompromittiert wurde.

Wenn nur einige der Kriterien erfüllt sind, verlängern sich die Fristen auf 14 bzw. 60 Kalendertage. Schwachstellen, die weder im KEV-Katalog öffentlich bekanntgegeben noch automatisiert ausgenutzt werden können, werden einfach auf den nächsten geplanten System-Upgrade verschoben.

Kriterien und Zeitplan (Quelle: CISA) CISA hat die Umsetzung der BOD 26-04 in drei Phasen strukturiert. Ab sofort (Phase I) müssen Behörden ihre Schwachstellenmanagement-Richtlinien aktualisieren, den KEV-Katalog überwachen und die Berichterstattung über das Continuous Diagnostics and Mitigation (CDM) Dashboard automatisieren.

Sicherheitslage und Risiko

Innerhalb von (Phase II) müssen die Behörden ihre vollständigen Schwachstellenmanagement-Prozesse auf die CVE-Datenbank und den KEV-Katalog ausrichten.

Innerhalb von (Phase III) müssen die Behörden den Remediation-Zeitplänen in Tabelle 1 vollständig entsprechen und alle öffentlich zugänglichen Assets kontinuierlich mit Metadaten versehen, einschließlich Organisation, Umgebung und Asset-Typ.

Die CISA verwies speziell auf die zunehmende Nutzung einen Haupttreiber der Richtlinie und warnte, dass KI die Zeitspanne zwischen der Veröffentlichung eines Patches und der aktiven Ausnutzung erheblich verkürzen kann.

Sicherheitslage und Risiko

Die Agentur stellte fest, dass staatlich geförderte Akteure bekannte ausgenutzte Schwachstellen häufig dazu nutzen, kritische Infrastrukturen zu kompromittieren, sensible Daten zu stehlen und Bundesoperationen zu stören.

Durch die Konzentration der Patching-Ressourcen auf die risikoreichsten Schwachstellen zielt BOD 26-04 darauf ab, die kritischste Angriffsfläche der Bundesregierung zu verkleinern, während gleichzeitig Flexibilität für weniger kritische Probleme gewährt wird.

Die CISA wird jährliche, datengestützte Neubewertungen der Fristen zur Behebung durchführen und den Behörden durch Notfallanweisungen sowie direkte Zusammenarbeit unter der Adresse CyberDirectives@cisa.dhs.gov kontinuierliche Leitlinien zur Verfügung stellen. Sie uns auf