Így formálódott a neves sebezhetőségi katalógus

A CISA érdekes statisztikát közölt az általa nyilvántartott legveszélyesebb sebezhetőségekkel kapcsolatban.
 

A CISA KEV (Known Exploited Vulnerabilities) katalógus azon sérülékenységek listáját foglalja magában, amelyek különös kockázatot jelentenek az informatikai infrastruktúrákra és az adatokra nézve. A listán szereplő biztonsági hibákhoz a CISA egy javítási határidőt is megad, amit az arra kijelölt amerikai ügynökségeknek, szerveknek szigorúan be kell tartaniuk. Eközben a cégek és vállalatok számára a katalógus egy kiváló támpontot jelent a patch menedzsment vonatkozásában.
 
A CISA közleménye szerint 2025-ben a KEV-katalógusába 245 új sérülékenységet vett fel, és ezzel a teljes lista 1484 eleműre bővült. A tavalyi év meglehetősen mozgalmas volt a szoftveres és hardveres sérülékenységek szempontjából, amit az is alátámaszt, hogy a KEV 2025-ben 20 százalékos bővülést produkált, ami rekordnak számít.
 
A 2021 óta létező KEV-ben tavaly 24 olyan kritikus veszélyességű biztonsági hiba is megjelent, amelyek bizonyítottan szerephez jutottak ransomware típusú támadásokban. E sebezhetőségeket egyebek mellett Oracle, Citrix, Microsoft, Fortinet, Mitel, SAP és SonicWall megoldásokban lehetett kimutatni. A CISA három sérülékenységet külön is kiemelt azok kockázati besorolása alapján:
CVE-2025-5777 - CitrixBleed
CVE-2025-61882, CVE-2025-61884 - Oracle E-Business Suite
 
Érdekesség, hogy a KEV listán nemcsak "friss" biztonsági hibák szerepelnek. A legrégebbi biztonsági rés egy 2002-ben napvilágra került (CVE-2002-0367) sebezhetőség, amely a Windows NT/2000 operációs rendszerek esetében merült fel. Tavaly pedig egy 2007-es Office sérülékenységgel (CVE-2007-0671) is bővült a katalógus.

A CISA KEV katalógusa a Biztonságportál Prémiumon is elérhető.