Sinds november vorig jaar zijn federale Amerikaanse overheidsinstanties verplicht om honderden actief aangevallen kwetsbaarheden voor een bepaalde datum te patchen en de lijst met beveiligingslekken en deadlines is weer wat langer geworden.

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security gaf begin november een zogenoemde "Binding Operational Directive" af om het risico van actief misbruikte, bekende kwetsbaarheden te verminderen. De overheidsinstantie kwam met een lijst van honderden beveiligingslekken die binnen een bepaalde tijd moeten zijn verholpen.

Sinds het verschijnen van de oorspronkelijke lijst komt het CISA geregeld met updates en worden andere actief aangevallen kwetsbaarheden toegevoegd. De nieuwste update voegt vijftien beveiligingslekken toe. Het gaat om drie kwetsbaarheden in VMware vCenter Server, Hikvision en vpn-software van FatPipe die voor 24 januari moeten zijn verholpen.

Voor de overige twaalf beveiligingslekken, waaronder in Google Chrome, Oracle WebLogic Server, Synacor Zimbra, Fortinet FortiOS, Windows, Palo Alto Networks PAN-OS, Exim, IBM WebSphere, Primetek Primefaces en Elastic Kibana is 10 juli van dit jaar als deadline vastgesteld. Het gaat hier voornamelijk om oudere kwetsbaarheden. De lekken in Windows, IBM WebSphere, Primetek Primefaces en Fortinet FortiOS dateren van respectievelijk 2013, 2015, 2017 en 2018.

Hoewel de verplichting alleen voor federale Amerikaanse overheidsinstanties geldt roept het CISA alle organisaties op om van de lijst gebruik te maken bij het prioriteren van te verhelpen kwetsbaarheden in hun omgevingen. Inmiddels telt de lijst 326 kwetsbaarheden waarvan is vastgesteld dat er bij aanvallen misbruik van is gemaakt.