สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ได้สั่งให้หน่วยงานรัฐบาลสหรัฐฯ เร่งแก้ไขช่องโหว่ Windows Server Update Services (WSUS) ความรุนแรงระดับ Crtical หลังจาก Microsoft เพิ่มช่องโหว่ดังกล่าวเข้าไปในรายการช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตี
CVE-2025-59287 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Crtical) เป็นช่องโหว่ Remote Code Execution (RCE) ซึ่งหากสามารถโจมตีช่องโหว่ได้สำเร็จ จะส่งผลกระทบต่อ Windows servers ที่เปิดใช้งาน WSUS Server role (เป็นฟีเจอร์ที่ไม่ได้เปิดใช้งานเป็นค่าเริ่มต้น) ซึ่งทำหน้าที่เป็นแหล่งอัปเดตสำหรับเซิร์ฟเวอร์อื่น ๆ ภายในองค์กร
Hacker สามารถใช้ช่องโหว่นี้โจมตีได้จากระยะไกล ในรูปแบบการโจมตีที่ไม่ซับซ้อน ซึ่งไม่จำเป็นต้องมีการโต้ตอบ หรือสิทธิ์พิเศษจากผู้ใช้งาน โดยหากโจมตีได้สำเร็จ ผู้โจมตีจะได้รับสิทธิ์ SYSTEM และเรียกใช้คำสั่งที่เป็นอันตรายได้
หลังจากที่ HawkTrace Security บริษัทรักษาความปลอดภัยไซเบอร์ ได้เผยแพร่ชุดสาธิตการโจมตี Proof-of-Concept(PoC) ทาง Microsoft ก็ได้ออกแพตซ์อัปเดตความปลอดภัยแบบ out-of-band security updates เพื่อแก้ไขช่องโหว่ CVE-2025-59287 บน Windows Server ทุกเวอร์ชันที่ได้รับผลกระทบ และแนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์โดยเร็วที่สุด
ทั้งนี้ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตแพตช์ฉุกเฉินได้ในทันที ควรปิดใช้งาน WSUS Server บนระบบที่มีช่องโหว่ เพื่อป้องกันการโจมตีช่องโหว่ดังกล่าว
ช่องโหว่ CVE-2025-59287 ถูกใช้ในการโจมตีแล้ว
ในวันที่มีการเผยแพร่การอัปเดตความปลอดภัยของช่องโหว่ CVE-2025-59287 บริษัทรักษาความปลอดภัยทางไซเบอร์สัญชาติอเมริกัน Huntress ได้พบหลักฐานการโจมตีช่องโหว่ที่มุ่งเป้าไปที่ WSUS instances ซึ่งใช้งานพอร์ตเริ่มต้น (8530/TCP และ 8531/TCP) ที่ถูกเปิดให้เข้าถึงได้จากอินเทอร์เน็ต
รวมถึง Eye Security บริษัทรักษาความปลอดภัยไซเบอร์สัญชาติเนเธอร์แลนด์ ก็ได้พบการสแกน และโจมตีระบบ หลังจากการเปิดเผยช่องโหว่ โดยระบบของลูกค้าอย่างน้อยหนึ่งรายถูกโจมตีโดยใช้ช่องโหว่ที่แตกต่างจากช่องโหว่ที่ Hawktrace ได้เผยแพร่
หลังจากนั้น Shadowserver ได้ติดตาม WSUS instances กว่า 2,800 รายการที่เปิดพอร์ตเริ่มต้น (8530/TCP และ 8531/TCP) ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต แม้ว่าจะไม่ได้ระบุว่ามี WSUS instances จำนวนเท่าไรที่ได้รับการอัปเดตแพตแล้ว
หน่วยงานรัฐบาลกลางสั่งให้แก้ไขช่องโหว่โดยด่วน
CISA ยังได้เพิ่มช่องโหว่อีกรายการ ซึ่งส่งผลกระทบต่อ Adobe Commerce stores (เดิมคือ Magento) ซึ่งถูกระบุว่าถูกใช้ในการโจมตีในช่วงที่ผ่านมาเช่นกัน
โดย CISA ได้เพิ่มช่องโหว่ทั้งสองรายการลงใน Known Exploited Vulnerabilities catalog ซึ่งแสดงรายการช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตีอยู่จริง
ตามคำสั่งปฏิบัติการ (BOD) 22-01 เดือนพฤศจิกายน 2021 หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลางสหรัฐฯ (FCEB) จะต้องแก้ไขระบบของตนภายในสามสัปดาห์ภายในวันที่ 14 พฤศจิกายน 2025 เพื่อป้องกันการโจมตีช่องโหว่ที่อาจเกิดขึ้น
แม้ว่าข้อกำหนดนี้จะบังคับใช้เฉพาะกับหน่วยงานรัฐบาลสหรัฐฯ เท่านั้น แต่ขอแนะนำให้ผู้ดูแลระบบ และผู้มีส่วนเกี่ยวข้องทุกคนจัดลำดับความสำคัญในการแก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้โดยเร็วที่สุด
CISA แนะนำให้ผู้ดูแลระบบ และผู้มีส่วนเกี่ยวข้องระบุเซิร์ฟเวอร์ที่มีช่องโหว่ทั้งหมด และใช้การอัปเดตความปลอดภัยแบบ out-of-band security updates สำหรับ CVE-2025-59287 หลังจากติดตั้งแล้ว ให้รีบูต WSUS servers เพื่อดำเนินการแก้ไขช่องโหว่ และรักษาความปลอดภัย Windows servers ที่เหลือให้เสร็จสิ้น
ที่มา : bleepingcomputer
You must be logged in to post a comment.