FCC 将针对外国制造路由器的安全更新禁令推迟至2029年

执行摘要

联邦通信委员会（FCC）根据其工程与技术办公室（OET）周五的公告，将禁止对外国制造的路由器和无人机进行软件和固件更新的最后期限从2027年3月1日推迟到2029年1月1日。这一延期是由于“公众利益”的考虑，紧随消费者技术协会（CTA），北美最大的技术贸易团体，对原始时间表的重大反对。CTA认为，原始时间表可能会使数百万设备面临未修补的安全漏洞风险。

技术分析

FCC在3月份宣布的原始规则旨在禁止未来进口被认为因外国制造而构成国家安全风险的路由器和无人机。禁止更新的目的是阻止制造商向已经在美国市场的设备推送软件或固件更改。然而，规则造成了一个悖论：许多美国消费者和企业使用的路由器是在海外制造的，切断安全更新会使这些设备在没有修补机制的情况下暴露于漏洞。

OET在其公告中承认了这种紧张关系，声明延期允许更新“确保设备的持续功能，例如修补漏洞和促进与不同操作系统的兼容性。”该机构还建议FCC考虑一个正式的规则制定过程来编纂豁免，提出了禁令可能进一步推迟或完全撤销的可能性。

值得注意的是，提议的禁令只适用于未来的进口，不适用于已经在美国供应链中的设备。白宫已经推动了这些限制，理由是外国制造的网络设备和无人机对国家安全的担忧。然而，安全界警告说，阻止更新可能会创造更大的攻击面，因为未修补的路由器是僵尸网络操作者和国家赞助的威胁行为者的主要目标。

缓解措施与建议

防御者应密切关注FCC的规则制定过程，因为时间表的转变并没有消除未来对外国制造设备更新限制的风险。依赖海外制造商路由器的组织——包括许多中小企业——应确保他们有记录的修补节奏和设备固件版本的清单。如果禁令最终生效，替代的缓解策略，如网络分割、入侵检测系统和设备更换计划，将成为关键。目前不需要采取立即行动，但延长的时间窗口提供了审计供应链依赖的机会。