概要:CISAがWSUSの緊急パッチ適用を指示
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦政府機関に対し、活発に悪用されているWindows Server Update Services(WSUS)の脆弱性(CVE-2025-59287)のパッチを適用するよう命令しました。この脆弱性は、CISAの「既知の悪用されている脆弱性カタログ」に追加されており、攻撃者がリモートからシステム権限で悪意のあるコードを実行できる、深刻度「緊急」のリモートコード実行(RCE)脆弱性です。
この脆弱性は、WSUSサーバーの役割を持つWindowsサーバーに影響を与えます。Microsoftは、サイバーセキュリティ企業HawkTrace Securityが概念実証(PoC)エクスプロイトコードを公開した後、この脆弱性に対処するための帯域外セキュリティ更新プログラムを緊急リリースしました。IT管理者は、可能な限り速やかにこれらの更新プログラムをインストールすることが推奨されています。直ちにパッチを適用できない場合は、攻撃ベクトルを排除するために、脆弱なシステムでWSUSサーバーの役割を無効にすることが助言されています。
実世界での活発な悪用が確認される
CVE-2025-59287のパッチがリリースされた日、米国のサイバーセキュリティ企業Huntressは、デフォルトポート(8530/TCPおよび8531/TCP)をオンラインに公開しているWSUSインスタンスを標的とした攻撃の証拠を発見しました。また、オランダのサイバーセキュリティ企業Eye Securityも、週末にHawkTraceが共有したものとは異なるエクスプロイトを使用して、スキャンおよび悪用試行を観測し、少なくとも1つの顧客システムが侵害されたことを確認しています。
MicrosoftはCVE-2025-59287を「悪用される可能性が高い」と分類していますが、現時点では公式に活発な悪用を確認したとは発表していません。しかし、Shadowserver Internet監視グループは、デフォルトポートをオンラインに公開している2,800以上のWSUSインスタンスを追跡しており、潜在的な攻撃対象が多数存在することを示唆しています。
連邦機関へのパッチ適用命令と推奨事項
CISAは、CVE-2025-59287と、先週悪用が確認されたAdobe Commerce(旧Magento)の脆弱性の両方を「既知の悪用されている脆弱性カタログ」に追加しました。2021年11月の拘束力のある運用指令(BOD)22-01に基づき、米国の連邦民間行政機関(FCEB)は、3週間以内、すなわち11月14日までにシステムにパッチを適用し、潜在的な侵害から保護することが義務付けられています。
この命令は米政府機関にのみ適用されますが、CISAはすべてのIT管理者と防御者に対し、これらのセキュリティ脆弱性のパッチ適用を最優先するよう強く推奨しています。CISAは、「これらの種類の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府にとって重大なリスクをもたらす」と述べています。ネットワーク防御者には、すべての脆弱なサーバーを特定し、CVE-2025-59287の帯域外セキュリティ更新プログラムを適用することが推奨されています。インストール後、WSUSサーバーを再起動して緩和策を完了し、残りのWindowsサーバーを保護する必要があります。