- CISAが重大なWSUSの脆弱性CVE-2025-59287をKEVカタログに追加
- Microsoftは実際の悪用報告を受けて緊急パッチを発行
- 2,800台以上のWSUSサーバーが露出、各機関は11月14日までに修正必須
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、新たな脆弱性を既知の悪用脆弱性(KEV)カタログに追加し、連邦機関に対して実際の悪用が発生していることを警告、3週間以内の修正を求めています。
Microsoftは最近、「信頼されていないデータのデシリアライズ」脆弱性を修正するための緊急パッチを公開しました。Windows Server Update Service(WSUS)で発見されたもので、これはIT管理者がネットワーク内のコンピュータのパッチ管理を行うためのツールです。
この脆弱性はCVE-2025-59287として追跡されており、深刻度スコアは9.8/10(クリティカル)と評価されています。これはリモートコード実行(RCE)攻撃を可能にするもので、低い複雑性でユーザーの操作なしに悪用でき、認証されていない権限のない攻撃者がSYSTEM権限で悪意のあるコードを実行できる可能性があります。理論上、攻撃者は他のWSUSサーバーにも感染を広げることができます。
Patch Tuesdayでの修正
この問題は2025年10月のPatch Tuesday累積アップデートで最初に対処されましたが、実際の攻撃が報告されたため、Microsoftは緊急修正もリリースしました。
その後、複数のセキュリティ機関がこの脆弱性が攻撃に利用されている証拠を発見しました。例えば、Huntressは公開されたデフォルトポート(8530/TCPおよび8531/TCP)を通じてWSUSインスタンスが攻撃されているのを確認し、一方Eye Securityは少なくとも1社の顧客が侵害されたことを確認しました。Microsoftはセキュリティアドバイザリで、この脆弱性を「悪用の可能性が高い」「公開されていない」「悪用されていない」としています。
Shadowserver Foundationというインターネット監視団体は、デフォルトポートが公開されているWSUSインスタンスが2,800台以上存在すると主張しています。すでに一部は修正されている可能性が高く、攻撃対象はこれよりやや少ないと考えられます。
今回、CISAはCVE-2025-59287をKEVに追加し、連邦民間行政機関(FCEB)に対し、11月14日までに修正するか、脆弱な製品の使用を中止するよう求めています。
