CISA、WSUSの深刻な脆弱性に関するガイダンスを更新し、セキュリティチームに警告

サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Windows Server Update Service（WSUS）における重大な脆弱性に関するガイダンスを更新し、セキュリティチームに対し、直ちにパッチを適用し、潜在的な侵害がないか確認するよう強く促しました。

脆弱性の詳細と背景

この脆弱性はCVE-2025-59287として追跡されており、IT管理者がMicrosoft製品のアップデートを展開するために広く使用しているWSUSにおける信頼できないデータのデシリアライゼーションに関わるものです。セキュリティ研究者たちは、ここ数週間で一連の悪用試行を追跡してきました。10月中旬に発行された最初のパッチは不十分であり、Microsoftは先週末に緊急の帯域外セキュリティアップデートをリリースしました。

CISAからの緊急勧告と対策

CISAは水曜日に、潜在的な侵害を確認する方法に関する追加ガイダンスを発行し、セキュリティチームにこの脅威を非常に深刻に受け止めるよう警告しました。CISAのサイバーセキュリティ部門エグゼクティブアシスタントディレクターであるニック・アンダーセン氏は、「これらのアクターからの脅威は現実です。組織は直ちにMicrosoftの帯域外パッチを適用し、システムを保護するための緩和策のガイダンスに従うべきです」と述べました。

セキュリティチームは、WSUSが有効でTCP 8530/8531ポートが開放されているサーバーを含む、悪用に対して脆弱なサーバーを特定する必要があります。CISAは、WSUSがインストールされている状態を確認するための特定のPowerShellコマンドを提供しました。

• 緊急パッチをインストールする。
• 不審な活動やSYSTEMレベルの権限で生成された子プロセスがないか確認する。

CISAは以前、この脆弱性を既知の悪用されている脆弱性カタログに追加しており、土曜日時点では連邦機関の侵害は報告されていないと述べています。

脅威の現状と各社の見解

Google脅威インテリジェンスグループは月曜日、複数の組織に対する攻撃を調査しているとCybersecurity Diveに語りました。Googleの研究者によると、ハッカーはシステムを侵害した後、偵察活動を行い、データを持ち出しているとのことです。Eye Securityの研究者たちは、複数の脅威グループが組織を標的にしていると疑っています。一方、Huntressは先週、複数の顧客が悪用試行の影響を受けたと報告しましたが、その活動はすぐに収束し、その後の試行は確認されていないと述べています。

追加のセキュリティ対策

アンダーセン氏は、組織はWSUSポート（8530/8531）をインターネットに公開すべきではないと付け加えました。もしポートが公開されている場合は、潜在的な侵害の兆候がないか確認する必要があります。

---

元記事: https://www.cybersecuritydive.com/news/cisa-guidance-warns-security-teams-wsus-exploitation/804257/