CISA หน่วยงานความมั่นคงไซเบอร์สหรัฐฯ ประกาศต่ออายุสัญญาดูแลฐานข้อมูล CVE กับ MITRE Corporation เรียบร้อยแล้ว หลังจากสัญญากำลังจะหมดอายุวันนี้

สัญญาดูแลฐานข้อมูลจะหมดอายุวันที่ 16 เมษายน แต่ทาง CISA ได้ขยายสัญญาในคืนวันที่ 15 เมษายน พร้อมกับขอบคุณผู้มีส่วนเกี่ยวข้องที่อดทน

ก่อนหน้านี้ CVE Foundation ออกมาประกาศ ว่าหากรัฐบาลสหรัฐฯ ไม่จ่ายค่าดูแลฐานข้อมูล CVE ก็จะย้ายโครงการมายังมูลนิธิเพื่อหาทุนและสร้างโครงสร้างมาดูแลต่อไป แต่ในเมื่อวันนี้รัฐบาลสหรัฐฯ จ่ายค่าดูแลโครงการต่อแล้วก็คงอยู่ในรูปแบบเดิมต่อไปอีกระยะหนึ่ง

MITRE Corporation ผู้ดูแลเว็บไซต์ CVE.org บริการฐานข้อมูลช่องโหว่ซอฟต์แวร์ ส่งจดหมายเวียนถึงกรรมการ CVE ว่ารัฐบาลทรัมป์ไม่ต่อสัญญาว่าจ้างให้ดูแลฐานข้อมูล ส่งผลให้สัญญาจบลงในวันนี้ซึ่งอาจจะกระทบต่อการให้บริการต่อไป

CVE เป็นการให้หมายเลขประจำตัวช่องโหว่ เพื่อให้ติดตามอ้างอิงช่องโหว่ต่างๆ ได้ง่ายขึ้น เช่น ช่องโหว่ Shellshock คือ CVE-2014-6271, Heartbleed คือช่องโหว่ CVE-2014-0160 เดิมฐานข้อมูลนี้เป็นบริการของ MITRE ที่บริษัทติดตามช่องโหว่ต่างๆ แต่ภายหลังก็เป็นบริการสาธารณะที่ CISA หน่วยงานความปลอดภัยไซเบอร์สหรัฐฯ จ่ายเงินสปอนเซอร์ให้ทาง MITRE ดูแลให้

สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (Cybersecurity and Infrastructure Security Agency - CISA) ออกแนวทางการรักษาความปลอดภัยบนอุปกรณ์เคลื่อนที่ โดยระบุว่าต้องยกระดับความปลอดภัยเพราะมีการโจมตีจากรัฐบาลจีน โดยแนวทางนี้สามารถใช้งานได้ทุกคน แต่แนะนำสำหรับราชการและนักการเมืองระดับสูง

คำแนะนำทั่วไป ระบุให้

ไมโครซอฟท์ประกาศข่าวว่าลูกค้าทุกรายจะสามารถใช้บริการเก็บล็อก (cloud logging) ที่ปัจจุบันอยู่ใต้แบรนด์ Microsoft Purview Audit ได้ฟรี เพื่อยกระดับความปลอดภัยของลูกค้าองค์กรที่ใช้คลาวด์

ประกาศนี้เป็นผลต่อเนื่องจากกรณี ไมโครซอฟท์ถูกแฮกกุญแจเซ็นโทเค็น Azure AD แฮกเกอร์เข้าดาวน์โหลดเมลรัฐบาลสหรัฐฯ สำเร็จ ทำให้ไมโครซอฟท์ได้รับแรงกดดันจากหน่วยงานภาครัฐของสหรัฐ โดยเฉพาะ Cybersecurity and Infrastructure Security Agency (CISA) ให้เปิดฟีเจอร์ด้าน cloud logging แก่ลูกค้าในวงกว้างมากขึ้น เพื่อให้สามารถตรวจสอบการแฮ็กได้เร็วขึ้น

CISA หรือ Cybersecurity and Infrastructure Security Agency หน่วยงานความมั่นคงไซเบอร์ของสหรัฐ ซึ่งเป็นหน่วยงานแม่ของ US-CERT ออกคำสั่งทางปกครอง ให้หน่วยงานพลเรือนทั้งหมดของรัฐบาลสหรัฐ ต้องอุดช่องโหว่ Log4j ให้เสร็จสิ้นภายในวันที่ 24 ธันวาคม 2021

CISA มีอำนาจสั่งให้หน่วยงานภาครัฐของสหรัฐต้องลดความเสี่ยงจากช่องโหว่ความปลอดภัยสำคัญๆ (Significant Risk of Known Exploited Vulnerabilities) ตาม รายการที่กำหนด เมื่อ CISA เพิ่มช่องโหว่ CVE-2021-44228 เข้ามาในรายการ หน่วยงานภาครัฐจึงต้องอุดช่องโหว่นี้ให้เสร็จภายในเวลาที่กำหนด

Jen Easterly ผู้อำนวยการหน่วยงานความปลอดภัยไซเบอร์ของรัฐบาลสหรัฐ (Cybersecurity and Infrastructure Security Agency หรือ CISA) ออกมาเตือนภัยเรื่อง ช่องโหว่ของ Log4j ว่า ส่งผลกระทบเป็นวงกว้างมาก , พบการโจมตีจริงๆ แล้ว และขอให้หน่วยงานรัฐบาลตรวจสอบระบบของตัวเองทันที

CISA ยังตั้งคณะทำงานร่วมเฉพาะกิจ Joint Cyber Defense Collaborative (JCDC) โดยมีตัวแทนจากหน่วยงานภาครัฐอื่นๆ เช่น FBI และ NSA รวมถึงตัวแทนจากหน่วยงานเอกชน เพื่อประสานงานกันให้อุดช่องโหว่ Log4j โดยเร็วที่สุด