サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、攻撃で悪用されたセキュリティ脆弱性カタログに追加した後、米国政府機関に対し、重大なWindows Server Update Services（WSUS）の脆弱性を修正するよう命じました。

木曜日、サイバーセキュリティ企業HawkTrace Securityが概念実証のエクスプロイトコードを公開した後、Microsoftは緊急のセキュリティアップデートをリリースし、「CVE-2025-59287を包括的に対処」するため、影響を受けるすべてのWindows Serverバージョンに適用するようIT管理者にできるだけ早くインストールすることを推奨しました。

緊急パッチをすぐに適用できないIT管理者には、攻撃経路を排除するため、脆弱なシステムのWSUSサーバーロールを無効にすることが推奨されています。

野放しでの積極的な悪用

CVE-2025-59287のパッチがリリースされた当日、米国のサイバーセキュリティ企業Huntressは、デフォルトポート（8530/TCPおよび8531/TCP）がインターネット上に公開されているWSUSインスタンスを標的としたCVE-2025-59287攻撃の証拠を発見しました。

オランダのサイバーセキュリティ企業Eye Securityも、金曜日の朝にスキャンと悪用の試みを観測し、週末にHawktraceが公開したものとは異なるエクスプロイトを用いて、顧客のシステムの1つが侵害されたことを確認しました。

MicrosoftはCVE-2025-59287を「悪用される可能性が高い」と分類し、脅威アクターにとって魅力的な標的であるとしていますが、現時点ではセキュリティアドバイザリを更新して積極的な悪用を確認したとは発表していません。

その後、Shadowserverインターネット監視グループが、デフォルトポート（8530/8531）がインターネット上に公開されている2,800以上のWSUSインスタンスを追跡していると報告しましたが、すでにパッチが適用されている数については言及していません。

​連邦機関に修正を命令

金曜日、サイバーセキュリティ庁は、先週も攻撃で悪用されたとタグ付けされた、Adobe Commerce（旧Magento）ストアに影響を与える2つ目の脆弱性も追加しました。

CISAは両方の脆弱性を、実際に悪用されているセキュリティ欠陥をリストアップした既知の悪用脆弱性カタログに追加しました。

2021年11月の拘束力のある運用指令（BOD）22-01により、米国連邦民間行政機関（FCEB）は、潜在的な侵害から保護するため、3週間以内、すなわち11月14日までにシステムの修正を完了しなければなりません。

これは米国政府機関のみに適用されますが、すべてのIT管理者や防御担当者も、これらのセキュリティ脆弱性の修正を最優先することが推奨されています。

「この種の脆弱性は、悪意のあるサイバー攻撃者による頻繁な攻撃経路となっており、連邦組織に重大なリスクをもたらします」とCISAは述べています。

「CISAは、組織がMicrosoftの更新されたWindows Server Update Service（WSUS）リモートコード実行脆弱性ガイダンスを実施することを強く推奨します。さもなければ、認証されていない攻撃者がシステム権限でリモートコード実行を達成するリスクがあります」と付け加えています。

CISAは、ネットワーク防御担当者に対し、すべての脆弱なサーバーを特定し、CVE-2025-59287用の緊急セキュリティアップデートを適用することを推奨しています。インストール後は、WSUSサーバーを再起動して対策を完了し、残りのWindowsサーバーを保護してください。