CISA 機関は、攻撃に悪用された Windows Server WSUS の脆弱性を修正するよう連邦政府機関に要求しています。

Microsoftは、Windows Server Update Services（WSUS）に影響を与える重大な脆弱性に対する緊急パッチをリリースしました。この脆弱性は積極的に悪用されており、攻撃者がシステム権限でリモートコードを実行する可能性があります。米国サイバーセキュリティ機関（CISA）は、連邦政府機関に対し、この脆弱性への早急なパッチ適用を求めています。WSUSサーバーの監視にはコストがかかる可能性があります。この脆弱性は、権限やユーザー操作を必要としないため、不可解です。Microsoftは即時のアップデートを推奨していますが、パッチをすぐに適用できない場合は、WSUSの役割を一時的に無効にすることを推奨する人もいます。

WSUSの脆弱性：攻撃者にとって大きな脅威

CVE-2025-59287と呼ばれるこの脆弱性は、ネットワーク上の他のWSUSサーバーのWSUSソースとして設定されているWindowsサーバーに影響します。厄介なのは、この脆弱性が「ワーム化可能」モードでリモートから悪用される可能性があることです。つまり、保護されていないシステムに遭遇すると、攻撃は自動的に拡散する可能性があるということです。

この攻撃の単純さは、経験豊富なベテランでさえも戦慄を覚えるほどです。複雑な操作やオープンセッションは必要ありません。CISAが警鐘を鳴らし、米国連邦政府機関に迅速な修正を求めているのも不思議ではありません。

Microsoftとセキュリティベンダーはパニックに陥っています。先週木曜日、HawkTrace Securityがこの脆弱性を悪用する概念実証コードを公開したことで、大きな騒ぎとなりました。これを受け、Microsoftは断固たる措置を講じ、影響を受けるWSUSサーバーの全バージョンに緊急パッチをリリースしました。すぐにパッチをインストールする時間がないシステム管理者は、WSUSの役割を一時的に無効にすることができます。理想的ではありませんが、メンテナンス期間を待たずに脆弱性を塞ぐためには必要なことです。

WSUSのインターネットへの露出：まさに頭痛の種

アクティブモニタリングのおかげで、Huntressは同日、標準ポート8530と8531がインターネットに公開されているWSUSインスタンスを狙った攻撃の試みを検知しました。これは偶然ではありません。これらのポートは攻撃の好まれる経路なのです。

その後、Eye Securityもこの傾向を確認し、HawkTraceの概念実証とは無関係に、様々なエクスプロイトによってWSUSサーバーが侵害された複数の事例を観察しました。率直に言って、この状況は安心できるものではありません。

CISAによる米国連邦政府機関への強い圧力

2021年BOD 22-01で定められた期限である11月14日までに、米国連邦政府機関はパッチを適用しなければなりません。この規定は厳格で、この脆弱性はCISAの悪用された脆弱性カタログにおいて「悪用される可能性が高い」と分類されています。

この厳しさは理解できます。この種の脆弱性は、しばしば攻撃者の侵入口となるからです。連邦政府インフラ全体にWSUSのようなツールが階層化されているため、潜在的な影響は甚大です。 ITサプライチェーンを標的とした攻撃が増加する中、これはますます重要になっています。

システム管理者は避けられない課題に直面しています。生意気な態度を取る余裕はありません。業界では古くから「パッチを適用できるなら、パッチを適用せよ」という格言があります。しかし、数百台のサーバーを管理している場合、重要なパッチを時間どおりに適用するのは至難の業です。

しかし、WSUSを脆弱なままにしておくと、悪夢への扉が開かれます。SYSTEM権限を持つ攻撃者は、ランサムウェアを起動したり、データを盗み出したり、さらにはネットワーク更新チェーン全体を侵害したりする可能性があります。

経験豊富なベテランからのアドバイス。

Googleの方法は、行き当たりばったりでできるものではありません。目を閉じてロボコピーを実行し、パッチを適用する方法を知っていることが最低限必要です。これらの脆弱性報告に怯む必要はありません。これは深刻な問題です。管理者の方は、ぜひこのパッチを適用してください！

出典:

www.bleepingcomputer.com