Amerikaanse overheidsinstellingen hebben twee weken de tijd gekregen om honderd kwetsbaarheden, waarvan bekend is dat er misbruik van is of wordt gemaakt, te patchen. Voor 176 andere actief aangevallen beveiligingslekken geldt een deadline van zes maanden. Dat heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.

Het CISA heeft een zogenoemde "Binding Operational Directive" afgegeven om het risico van actief misbruikte, bekende kwetsbaarheden te verminderen. Deze in totaal 291 beveiligingslekken zijn op een aparte lijst geplaatst en moeten binnen een bepaalde tijd zijn verholpen. Voor de honderd actief aangevallen kwetsbaarheden die dit jaar zijn gevonden geldt een deadline van twee weken, die op 17 november afloopt. In het geval van 176 beveiligingslekken die van voor 2021 dateren krijgen federale overheidsinstanties zes maanden de tijd, en moeten de betreffende beveiligingsupdates uiterlijk op 3 mei 2022 zijn geïnstalleerd. De vijftien resterende lekken hadden al via eerder afgegeven directives moeten zijn gepatcht

Het gaat onder andere om kwetsbaarheden in Adobe Coldfusion, Adobe Acrobat en Reader, Android, Apache HTTP Server en Struts, Apple iOS en macOS, Atlassian Confluence, Cisco IOS XR, Citrix ADC, DotNetNuke, F5 BIG-IP, Fortinet FortiOS, Google Chrome, IBM Data Risk Manager, ImageMagick, MobileIron Core & Connector, Kaseya VSA, McAfee Total Protection, Microsoft Windows, Nagios, Oracle WebLogic Server, Pulse Connect Secure, SaltStack, SonicWall Email Security, Trend Micro OfficeScan, vBulletin, VMWare en Zoho.

Het CISA laat weten dat de nu gestelde deadlines afhankelijk van het risico voor het overheidsapparaat kunnen worden aangepast. Federale overheidsinstanties zijn daarnaast verplicht om hun vorderingen met betrekking tot het uitrollen van de beveiligingsupdates te rapporteren.