美国网络安全和基础设施安全局CISA本周更新了一则值得警惕的动态。周四发布的公告中两个CVSS评分均达到9.8的Critical级别漏洞被正式纳入已知被利用漏洞KEV清单。涉事产品横跨视频监控与工业自动化两大关键领域且CISA已确认存在在野主动利用行为。对于依赖这类设备的组织而言修补窗口正在被压缩。海康威视认证绕过漏洞CVE-2017-7921第一个漏洞CVE-2017-7921波及海康威视多款产品根因在于身份认证机制存在设计缺陷。攻击者无需复杂操作即可绕过登录校验直接实现权限提升并访问设备内的敏感数据。这意味着暴露在公网上的摄像头可能成为入侵内网的跳板。早在CISA将其列入KEV之前SANS互联网风暴中心就已经监测到针对该漏洞的批量扫描和攻击尝试。换句话说这个老洞在野外的利用从未真正停歇只是近期被官方正式盖章确认。罗克韦尔自动化凭证保护不足CVE-2021-22681另一枚重磅炸弹是CVE-2021-22681影响范围覆盖Studio 5000 Logix Designer、RSLogix 5000以及Logix控制器等核心工控产品。漏洞问题在于凭证保护强度不够导致具备网络可达性的未授权攻击者能够绕过认证校验进而篡改设备配置甚至注入恶意应用代码。与海康威视漏洞不同的是目前尚无公开报告证实CVE-2021-22681已被用于实际攻击事件。但CISA将其同步纳入KEV清单通常意味着情报渠道已掌握可信的在野利用证据。对工控环境来说这类漏洞的杀伤力往往更大——篡改PLC逻辑可能直接引发生产线停摆或物理安全风险。联邦机构的硬期限2026年3月26日依据约束性运营指令BOD 22-01美国联邦行政部门机构被要求在2026年3月26日前完成受影响软件的升级确保运行受支持的最新版本。CISA在声明中直言这类漏洞是攻击者最常用的初始入侵入口之一对联邦基础设施构成重大安全威胁。虽然BOD 22-01的约束对象仅限联邦机构但CISA的措辞明显面向更广泛的受众。公告中使用了强烈敦促这样的字眼建议所有组织将KEV清单内漏洞的修复纳入日常漏洞管理流程。这种从强制到建议的层级传递实际上是在向私营关键基础设施运营者释放信号漏洞修复不能只看合规清单更要看实际威胁态势。为什么这两个漏洞值得高度关注把两个评分同为9.8的漏洞放在一起看能发现一条清晰的主线攻击者正在把目光投向边缘设备和工控终端。海康威视摄像头往往部署在边界天然暴露面大罗克韦尔控制器则深扎在OT网络一旦失守横向移动的代价极高。两者结合恰好覆盖了从物理安防到生产控制的全链条。对于国内用户和企业而言虽然CISA的指令不具强制约束力但KEV清单的全球参考价值已经得到反复验证。历史数据显示进入该清单的漏洞在公开后通常会迎来利用高峰。与其等攻击样本扩散到内网不如趁窗口期完成资产盘点和补丁验证。修复优先级已经很清楚先排查公网侧的海康威视设备固件版本再梳理内网中罗克韦尔相关产品的补丁状态。时间窗口不算充裕但足够做一轮有针对性的应急响应。