FBI निगरानी प्रणाली में सेंध, नए Pentagon CISO की नियुक्ति, CISA ने KEV का विस्तार किया — सुरक्षा नियमन राउंडअप 7 मार्च 2026
The FBI है investigating एक उल्लंघन of एक सिस्टम holding sensitive surveillance जानकारी. The Pentagon appoints James "Aaron" Bहैhop as its नया CISO. CISA adds 23 iOS भेद्यताएं from Coruna शोषण kit to KEV catalog. इस बीच, AI सुरक्षा भेद्यताएं in Chrome's Gemini integration उजागर करना urgency of EU AI Act's नयाly enforced प्रतिबंधित practices. Google's 2025 जीरो-डे रिपोर्ट करना प्रकट करता है 90 शोषणed भेद्यताएं — half को निशाना बना रहा उद्यम infrastructure.
🔴 FBI Investigating उल्लंघन of Surveillance सिस्टम
गंभीर Gसे अधिकnment सुरक्षा घटना
The FBI है पुष्टि की गई it है investigating "suspicious" cyber activity on एक सिस्टम containing sensitive surveillance जानकारी. The bureau नहींअगरied members of Congress के बारे में घटना और है wयाking to determine scope और प्रभाव of compromहैe.
नियामक Implications
यह घटना carries महत्वपूर्ण implications fया gसे अधिकnment साइबर सुरक्षा नियमन और से अधिकsight:
- Congressional से अधिकsight: The उल्लंघन है likely to accelerate legहैlative action on federal साइबर सुरक्षा mऔरates, with दोनों खुफिया committees expected to hold वर्गीकृत briefings
- FISMA अनुपालन: Questions होगा arहैe के बारे में क्या समझौता किया गया सिस्टम met Federal जानकारी सुरक्षा आधुनिकization Act आवश्यकताएं
- Surveillance refयाm: The उल्लंघन of surveillance-related डेटा सकता है reignite debates के आसपास Section 702 of FISA और डेटा संरक्षण safeguards fया खुफिया सिस्टम
- आपूर्ति श्रृंखला concerns: Investigatयाs हैं examining क्या उल्लंघन याiginated के माध्यम से एक third-party vendया, echoing NIS2 और DORA आपूर्ति श्रृंखला सुरक्षा आवश्यकताएं
Fया EU संगठन, यह घटना के तहतscयाes impयाtance of NIS2 Article 21 आवश्यकताएं fया घटना hऔरling और crहैहै प्रबंधन करनाment — भी अधिकांश सुरक्षा-focउपयोग किया गया agencies रहना vulnerable.
🛡️ Pentagon Appoints New CISO: James "Aaron" Bहैhop
James "Aaron" Bहैhop है रहा है selected to serve as नया Pentagon Chief जानकारी सुरक्षा Officer, replacing David McKeown, जो होगा transition to private क्षेत्र बाद 40 वर्ष of gसे अधिकnment service. The appointment signals जारी रखनाd priयाitization of साइबर सुरक्षा at highest levels of U.S. defense.
क्या यह Means fया नियमन
The Pentagon CISO से अधिकsees साइबर सुरक्षा नीति fया Department of Defense — wयाld's largest संगठन by headcount. Bहैhop's appointment comes at एक गंभीर time:
- CMMC 2.0 enforcement: The साइबर सुरक्षा Maturity Model Certअगरication program है entering full enforcement, requiring सभी defense contractयाs to meet सत्यापित साइबर सुरक्षा stऔरards
- Zero trust architecture: DoD's zero trust लागू करनाation समय सीमा है दृष्टिकोणing, with सभी components expected to achieve target-level maturity
- अंतरराष्ट्रीय alignment: बढ़ता coयाdination के बीच U.S. defense साइबर सुरक्षा stऔरards और EU ढांचे (NIS2, DORA) fया सभीied interoperability
- AI/ML सुरक्षा: DoD's expऔरing उपयोग of AI सिस्टम आवश्यक है alignment with उभरता AI सुरक्षा stऔरards — parसभीeling EU AI Act's high-rहैk AI आवश्यकताएं
⚠️ CISA Adds Coruna शोषण Kit iOS Flaws to KEV Catalog
23 iOS भेद्यताएं Added to ज्ञात शोषणed भेद्यताएं Catalog
CISA है added iOS भेद्यताएं शोषणed by Coruna शोषण kit — described as एक "राष्ट्र-राज्य-grade" tool — to ज्ञात शोषणed भेद्यताएं (KEV) catalog. The शोषण kit को निशाना बनाता है 23 भेद्यताएं प्रभावित कर रहा iOS संस्करण 13 के माध्यम से 17.2.1.
अनुपालन प्रभाव
के तहत Binding Operational Directive (BOD) 22-01, सभी U.S. federal civiliएक agencies चाहिए remediate KEV-lहैted भेद्यताएं के भीतर prescribed समयसीमाs. But नियामक प्रभाव extends far से परे U.S.:
- NIS2 (EU): Article 21 mऔरates भेद्यता प्रबंधन और dहैclosure — संगठन का उपयोग करके iOS डिवाइस in आवश्यक/महत्वपूर्ण entity operations चाहिए पैच तुरंत
- DORA (Financial): Financial entities के तहत DORA चाहिए शामिल करना mobile डिवाइस भेद्यताएं in ir ICT जोखिम प्रबंधन ढांचे और घटना रिपोर्टिंग
- GDPR: शोषण of ये भेद्यताएं का कारण बन सकता है व्यक्तिगत डेटा exfiltration, triggering 72-घंटा उल्लंघन अधिसूचना दायित्व के तहत Article 33
- EU AI Act: AI सिस्टम चल रहा on समझौता किया गया iOS infrastructure सकता है fail high-rहैk AI सिस्टम सुरक्षा आवश्यकताएं के तहत Article 15
Coruna शोषण Kit: Key Details
| Attriलेकिनe | Detail |
|---|---|
| Classअगरication | राष्ट्र-राज्य grade commercial शोषण kit |
| Target | iOS 13 के माध्यम से iOS 17.2.1 |
| भेद्यताएं | 23 chained शोषण करता है fया full डिवाइस compromहैe |
| Capability | Zero-click रिमोट कोड निष्पादन, persहैtent पहुंच |
| KEV Status | All 23 CVEs अब in CISA KEV catalog |
🤖 AI सुरक्षा के तहत Fire: Chrome Gemini भेद्यता & Fake Extensions
Two विकसित करनाments यह सप्ताह उजागर करना बढ़ता intersection of AI सुरक्षा और नियामक अनुपालन:
Chrome Gemini भेद्यता (CVE-2026-0628)
Google पैच किया गया CVE-2026-0628 (CVSS 8.8 — High), एक elevation-of-privilege भेद्यता in Gemini AI integration के भीतर Chrome. रिपोर्ट किया गया by Palo Alto नेटवर्क Unit 42, flaw अनुमति देनाed दुर्भावनापूर्ण ब्राउज़र एक्सटेंशन with basic permहैsions to hijack Gemini Live panel, संभावितly पहुंचing:
- उपयोगकर्ता conversations with AI assहैtant
- Browsing context और page content shहैंd with Gemini
- Any डेटा प्रक्रियाed के माध्यम से AI panel
Fake AI Extensions Epidemic
सुरक्षा शोधकर्ता जारी रखना to flag दुर्भावनापूर्ण ब्राउज़र एक्सटेंशन masquerading as AI tools in official app stयाes. ये extensions प्रदान करना superficial AI functionality जबकि silently exfiltrating उपयोगकर्ता डेटा, कुंजियांtroke logs, और प्रमाणीकरण टोकन.
EU AI Act Relevance
As of फरवरी 2, 2026, EU AI Act's प्रतिबंधित practices (Article 5) हैं अब enforceable. जबकि ये विशिष्ट भेद्यताएं don't fसभी के तहत प्रतिबंधित AI categयाies, y उजागर करना गंभीर gaps in AI सिस्टम सुरक्षा वह Act's high-rहैk AI आवश्यकताएं (effective अगस्त 2026) होगा संबोधित करना:
- Article 15: High-rहैk AI सिस्टम चाहिए achieve appropriate levels of accuracy, robustness, और साइबर सुरक्षा
- Article 9: जोखिम प्रबंधन सिस्टम चाहिए संबोधित करना साइबर सुरक्षा खतरे to AI components
- GPAI transpहैंncy (मई 2026): General-purpose AI model प्रदान करनाrs चाहिए प्रलेखित करना साइबर सुरक्षा उपाय सुरक्षित करनाing model integrity
📊 Google जीरो-डे रिपोर्ट करना: 90 शोषणed भेद्यताएं in 2025
Google's annual जीरो-डे शोषणation विश्लेषण प्रकट करता है 90 जीरो-डे भेद्यताएं थे शोषणed जंगल में के दौरान 2025 — with एक महत्वपूर्ण shअगरt toward उद्यम-को निशाना बना रहा:
- 50% targeted उद्यम products — सुरक्षा appliances, VPN gateways, नेटवर्क infrastructure
- स्पाइवेयर विक्रेता रहना अधिकांश prolअगरic जीरो-डे उपयोगकर्ता, with commercial surveillance tools accounting fया largest attriलेकिनed shहैं
- China-linked groups led राष्ट्र-राज्य attriलेकिनion, focका उपयोग करके on नेटवर्क edge डिवाइस और महत्वपूर्ण बुनियादी ढांचा
- कम thएक half of सभी जीरो-डे सकता है be attriलेकिनed to विशिष्ट खतरा अभिकर्ता
नियामक लेनाaway
The उद्यम focus of जीरो-डे शोषणation सीधे मान्य करनाs नियामक दृष्टिकोण of NIS2 और DORA:
- NIS2 आवश्यक entities operating नेटवर्क infrastructure हैं prime को निशाना बनाता है — Article 21 जोखिम प्रबंधन उपाय हैं नहीं optional सिफारिशें लेकिन survival आवश्यकताएं
- DORA's operational resilience परीक्षण करनाing (सहित खतरा-led penetration परीक्षण करनाing) reflects reality वह financial क्षेत्र infrastructure faces sustained, परिष्कृत हमले
- EU Cyber Resilience Act (CRA) आवश्यकताएं fया manufacturers to प्रदान करना सुरक्षा अपडेट और भेद्यता प्रबंधन become गंभीर as हमलावर बढ़ते हुए target product-level flaws
🔄 Microsoft Copilot डेटा संरक्षण अपडेट
Microsoft घोषित नया नियंत्रण से अधिक जो फाइलें its Microsoft 365 Copilot AI assहैtant cएक पहुंच के दौरान डेटा प्रसंस्करण. The change comes in direct प्रतिक्रिया to ग्राहक रिपोर्ट वह Copilot था सहित confidential जानकारी in its outputs.
Key Changes
- DLP enforcement expansion: डेटा हानि रोकथाम labels होगा अब लागू करना to local फाइलें, नहीं बस OneDrive/ShहैंPoint — रोकनाing Copilot from पहुंचing DLP-restricted content के बावजूद stयाage location
- Default सुरक्षा: The नया नियंत्रण होगा be applied by default starting अप्रैल 2026
- उपयोगकर्ता responsibility: संगठन चाहिए properly कॉन्फ़िगर करना DLP labels on sensitive फाइलें to रोकना AI पहुंच
GDPR & AI Act अनुपालन
यह विकसित करनाment है सीधे relevant to EU अनुपालन:
- GDPR Article 5(1)(f): Integrity और confidentiality — AI tools पहुंचing डेटा से परे ir intended scope सकता है violate सिद्धांत of appropriate सुरक्षा
- GDPR Article 25: डेटा संरक्षण by design — Microsoft's change reflects नियामक expectation of built-in privacy safeguards
- EU AI Act Article 10: डेटा gसे अधिकnance आवश्यकताएं fया AI सिस्टम चाहिए सुनिश्चित करना प्रशिक्षित करनाing और प्रक्रियाing डेटा meets quality और relevance stऔरards
⚡ Cisco SD-WAN भेद्यताएं शोषणed जंगल में
Cisco पुष्टि की गई वह two हाल ही में पैच किया गया Catalyst SD-WAN भेद्यताएं — CVE-2026-20128 और CVE-2026-20122 — हैं हो रहा सक्रिय रूप से शोषित. SD-WAN infrastructure है वर्गीकृत as महत्वपूर्ण बुनियादी ढांचा in कई नियामक ढांचाs.
NIS2 महत्वपूर्ण बुनियादी ढांचा अलर्ट
संगठन operating SD-WAN infrastructure वह fसभीs के तहत NIS2 आवश्यक या महत्वपूर्ण entity classअगरications चाहिए treat ये शोषणed भेद्यताएं as अनिवार्य तत्काल पैच. के तहत Article 21, failure to संबोधित करना ज्ञात-शोषणed भेद्यताएं in गंभीर नेटवर्क infrastructure सकता है constitute एक अनुपालन violation subject to administrative जुर्माना.
📋 अनुपालन Action Items — सप्ताह of मार्च 7, 2026
- पैच iOS डिवाइस तुरंत — All 23 Coruna शोषण kit CVEs अब in CISA KEV; NIS2/DORA-विनियमित entities चाहिए priयाitize
- अपडेट Cisco SD-WAN — CVE-2026-20128 और CVE-2026-20122 सक्रिय रूप से शोषित; महत्वपूर्ण बुनियादी ढांचा rहैk
- ऑडिट करना AI tool permहैsions — समीक्षा ब्राउज़र एक्सटेंशन claiming AI functionality; remove unसत्यापित extensions
- कॉन्फ़िगर करना Microsoft 365 DLP — सुनिश्चित करना DLP labels हैं applied to sensitive फाइलें पहले Copilot default सुरक्षाs activate in अप्रैल
- समीक्षा Chrome सुरक्षा अपडेट — पैच CVE-2026-0628 (Gemini भेद्यता); मूल्यांकन करना AI-integrated browser components
- EU AI Act readiness — प्रतिबंधित practices अब enforceable; inventयाy AI सिस्टम fया अनुपालन by अगस्त 2026 high-rहैk समय सीमा
- NIS2 घटना प्रतिक्रिया drill — The FBI उल्लंघन के तहतscयाes वह भी top-tier सुरक्षा संगठन face compromहैe; परीक्षण करना your 24-घंटा early चेतावनी प्रक्रियाएं