Kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) nurodė JAV vyriausybinėms agentūroms pataisyti kritinio sunkumo „Windows Server Update Services“ (WSUS) spragą, įtraukusi ją į atakų metu naudojamų saugos trūkumų katalogą.
Šis aktyviai išnaudojamas nuotolinio kodo vykdymo (RCE) pažeidžiamumas, kuris gali būti užkrėstas, paveikia „Windows“ serverius, turinčius WSUS serverio vaidmenį (funkcija, kuri neįjungta pagal numatytuosius nustatymus), kurie veikia kaip naujinimo šaltiniai kitiems organizacijos WSUS serveriams.
Užpuolikai gali juo piktnaudžiauti nuotoliniu būdu vykdydami mažo sudėtingumo atakas, kurioms nereikia vartotojo sąveikos ar privilegijų, todėl jie gali įgyti SISTEMOS privilegijas ir paleisti kenkėjišką kodą.
Ketvirtadienį, kibernetinio saugumo įmonei „HawkTrace Security“ išleidus koncepcijos įrodymo išnaudojimo kodą, „Microsoft“ išleido išorinius saugos naujinimus, skirtus „visapusiškai adresuoti CVE-2025-59287“ visose paveiktose „Windows Server“ versijose, ir patarė IT administratoriams kuo greičiau juos įdiegti.
IT administratoriams, kurie negali iš karto įdiegti avarinių pataisų, patariama išjungti WSUS serverio vaidmenį pažeidžiamose sistemose, kad būtų pašalintas atakos vektorius.
Aktyvus išnaudojimas gamtoje
Tą dieną, kai buvo išleisti pataisymai CVE-2025-59287, Amerikos kibernetinio saugumo įmonė Huntress rado įrodymų apie CVE-2025-59287 atakas, nukreiptas į WSUS egzempliorius, kurių numatytieji prievadai (8530/TCP ir 8531/TCP) buvo atskleisti internete.
Nyderlandų kibernetinio saugumo įmonė „Eye Security“ penktadienio rytą taip pat stebėjo bandymus nuskaityti ir išnaudoti, kai bent vienai jos klientų sistemai buvo pakenkta naudojant kitokį išnaudojimą, nei tą, kurį savaitgalį pasidalijo „Hawktrace“.
Nors „Microsoft“ klasifikavo CVE-2025-59287 kaip „Labiau tikėtinas išnaudojimas“, pažymėdama jį kaip patrauklų taikinį grėsmės subjektams, ji dar neatnaujino savo saugumo patarimo, kad patvirtintų aktyvų išnaudojimą.
Nuo tada „Shadowserver Internet Watchdog“ grupė stebi daugiau nei 2800 WSUS egzempliorių, kurių numatytieji prievadai (8530/8531) yra atskleisti internete, tačiau nenurodė, kiek jų jau yra pataisyta.
Federalinės agentūros įsakė pataisyti
Penktadienį kibernetinio saugumo agentūra pridėjo antrą trūkumą, paveikiantį „Adobe Commerce“ (buvusią „Magento“) parduotuves, kuri taip pat buvo pažymėta kaip panaudota atakose praėjusią savaitę.
CISA abu pažeidžiamumus įtraukė į žinomų išnaudotų pažeidžiamumų katalogą, kuriame pateikiami saugos trūkumai, kurie yra išnaudojami gamtoje.
Pagal 2021 m. lapkričio mėn. privalomąją veiklos direktyvą (BOD) 22-01, JAV federalinės civilinės vykdomosios valdžios (FCEB) agentūros turi pataisyti savo sistemas per tris savaites, iki lapkričio 14 d., kad apsaugotų jas nuo galimų pažeidimų.
Nors tai taikoma tik JAV vyriausybinėms agentūroms, visiems IT administratoriams ir gynėjams patariama teikti pirmenybę šių saugumo trūkumų kuo greičiau pataisymui.
„Šio tipo pažeidžiamumas yra dažni kenkėjiškų kibernetinių veikėjų atakų vektoriai ir kelia didelę riziką federalinei įmonei“, – teigė CISA.
„CISA primygtinai ragina organizacijas įgyvendinti „Microsoft“ atnaujintą „Windows Server Update Service“ (WSUS) nuotolinio kodo vykdymo pažeidžiamumo gaires 1 arba rizikuoti, kad neautentifikuotas veikėjas galės nuotoliniu būdu vykdyti kodą su sistemos privilegijomis“, – priduriama jame.
CISA rekomenduoja, kad tinklo gynėjai nustatytų visus pažeidžiamus serverius ir pritaikytų CVE-2025-59287 saugos naujinimus už juostos ribų. Įdiegę iš naujo paleiskite WSUS serverius, kad užbaigtumėte mažinimą ir apsaugotumėte likusius „Windows“ serverius.
46 % aplinkų slaptažodžiai buvo nulaužti, beveik dvigubai daugiau nei 25 % praėjusiais metais.
Gaukite „Picus Blue Report 2025“ dabar, kad išsamiai apžvelgtumėte daugiau išvadų apie prevencijos, aptikimo ir duomenų išfiltravimo tendencijas.
