同庁は、深刻な脅威に対抗するため、Microsoftの緊急パッチを適用するようユーザーに呼びかけています。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Windows Server Update Serviceの重大な脆弱性について最新のガイダンスを発表し、セキュリティチームに対して直ちにパッチを適用し、潜在的な侵害がないか確認するよう促しました。
この脆弱性は、CVE-2025-59287として追跡されており、WSUS(IT管理者がMicrosoft製品のアップデートを配布するために広く使用されているツール)における信頼されていないデータのデシリアライズに関係しています。
セキュリティ研究者は、一連の悪用試行をここ数週間追跡しています。10月中旬に最初のパッチが発行されましたが効果がなく、Microsoftは先週末に緊急の臨時セキュリティアップデートをリリースしました。
CISAは水曜日に、潜在的な侵害を確認する方法に関する追加ガイダンスを発表し、セキュリティチームに対してこの脅威を非常に深刻に受け止めるよう警告しました。
「これらの攻撃者による脅威は現実のものです。組織は直ちにMicrosoftの臨時パッチを適用し、システムを保護するための緩和策ガイダンスに従うべきです」と、CISAサイバーセキュリティ部門のエグゼクティブアシスタントディレクターであるNick Andersen氏はCybersecurity Diveに語りました。
セキュリティチームは、WSUSが有効化されているサーバーやTCP 8530/8531ポートが開いているサーバーなど、悪用される可能性のあるサーバーを特定する必要があります。CISAは、WSUSがインストールされているかどうかを確認するための特定のPowerShellコマンドを提供しています。
CISAは、緊急パッチをインストールし、組織は不審な活動やSYSTEMレベルの権限で生成された子プロセスがないか確認すべきだと述べています。
CISAは以前、この脆弱性を既知の悪用脆弱性カタログに追加しました。土曜日時点で、連邦機関が侵害された事例はないと述べています。
Google Threat Intelligence Groupは月曜日、Cybersecurity Diveに対し、複数の組織に対する攻撃を調査中であると語りました。Googleの研究者によると、ハッカーはシステム侵入後に偵察活動を行い、データを持ち出しているとのことです。
Eye Securityの研究者はCybersecurity Diveに対し、複数の脅威グループが組織を標的にしている可能性があると述べました。
一方、Huntressは先週、複数の顧客が悪用試行の影響を受けたと報告しました。Huntressの研究者はCybersecurity Diveに対し、活動はすぐに沈静化し、その後の試行は確認されていないと述べました。
Anderson氏はさらに、組織はWSUSのポート(8530/8531)をインターネットに公開すべきではないと付け加えました。もしポートが公開されていた場合、組織は潜在的な侵害の兆候がないか確認する必要があります。
翻訳元: https://www.cybersecuritydive.com/news/cisa-guidance-warns-security-teams-wsus-exploitation/804257/
