CISA宣佈提供研究人員通報漏洞已遭利用的管道
背景與政策更新
美國網路安全暨基礎設施安全局(CISA)於2025年5月13日宣佈,將不再更新其轄下的網路安全告警與建議(Cybersecurity Alerts & Advisories)網頁,改為使用電子郵件方式提供資訊,以提升通報效率與反應速度。
已遭利用漏洞提報機制
CISA為促進研究人員、供應商與產業合作夥伴能更便捷地通報已遭利用的漏洞,推出了「已遭利用漏洞列表」(Known Exploited Vulnerabilities, KEV)的漏洞提報表單(Nomination Form)系統。
此新機制旨在協助CISA快速識別、驗證並共享與KEV相關的重要威脅情資,以提升整體資安防禦能力。
相關案例與應用
- 2025年9月,CISA新增7個已知遭駭客利用之漏洞至KEV目錄,涵蓋多個關鍵軟體與服務。
- 2025年12月,CISA警告華碩Live Update與GeoServer等產品存在重大資安漏洞,且已遭駭客積極利用。
- 2026年4月,CISA持續更新KEV清單,並強調多個常用軟體與平臺出現高風險漏洞,如SharePoint的欺騙漏洞,已遭攻擊利用。