ネットワーク防御担当者は、現在積極的に悪用されているWindows Server Update Services(WSUS)の新たな重大な脆弱性に対してパッチを適用するよう促されている。
Microsoftは先週木曜日、このバグを修正するための帯域外(Out-of-Band)更新プログラムを公開した。同日、Huntressは、既定のポート8530および8531で公開されているWSUSインスタンスを脅威アクターが標的にしていることを確認した。
CVE-2025-59287は、リモートコード実行(RCE)を可能にするWSUSの「信頼されていないデータのデシリアライズ脆弱性」と説明されている。
セキュリティベンダーのHawkTraceは、「この脆弱性により、認証されていない攻撃者が、GetCookie()エンドポイントに悪意のある暗号化Cookieを送信することで、システム権限でリモートコード実行を達成できる」と説明した。
報告によれば、この目的で悪用するのにユーザーの操作や権限は不要だという。
緊急のMicrosoftパッチについて詳しく読む: Microsoft、復旧問題を修正するための帯域外更新を公開
米国のサイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は金曜日、このCVEを既知の悪用されている脆弱性(KEV)カタログに追加し、「連邦政府のエンタープライズに重大なリスク」をもたらすと警告した。各機関は11月14日までにパッチを適用する必要がある。
広範な侵害の可能性
既定では有効になっていないものの、WSUSは、IT管理者がネットワーク接続されたコンピューターに対してMicrosoft製品の更新プログラムを一元的に管理・配布できる人気のツールだ。
MondooのCISOであるPatrick Münch氏は、これにより新たな脆弱性が特に危険になると述べた。
同氏は、「侵害されたWSUSサーバーは、ネットワーク上のクライアントコンピューター全体に悪意のある更新を配布するために利用される可能性があり、この欠陥は大企業にとって特に重大なものになる」と説明した。
「さらに、認証不要のリモートコード実行を可能にし、すでに積極的に悪用されています。つまり、組織はこの脆弱性の緩和と修正を直ちに行うことを最重要課題として扱うべきです。」
HuntressはWindows Serverの顧客に迅速なパッチ適用を助言した一方で、WSUSへのネットワークアクセスを分離することでも対処できると述べた。
「WSUSインフラストラクチャへのアクセスは、明示的に必要な管理ホストとMicrosoft Updateサーバーのみに限定してください」と同社は述べた。
「それ以外のすべての接続については、TCPポート8530および8531へのインバウンドトラフィックをブロックすることを強く推奨します。」
画像クレジット: Shaheerrr / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/actively-exploited-wsus-bug-cisa/
