close
프로필 배경
프로필 로고

일상 나누기

IT 소식 뉴스/CVE CODE · 2025. 11. 7. fullscreen 넓게보기

CVE-2025-59287 — Microsoft WSUS 원격 코드 실행 취약점 분석

반응형
CVE-2025-59287 — Microsoft WSUS 원격 코드 실행 취약점 분석 및 대응

CVE-2025-59287 — Microsoft WSUS 원격 코드 실행 취약점 분석 및 대응

요약

취약점: CVE-2025-59287 — Windows Server Update Services(WSUS)에서 직렬화되지 않은 데이터 처리 오류로 인해 인증 없이 원격 코드 실행(RCE)이 가능하다는 문제. :contentReference[oaicite:1]{index=1}

심각도: CVSS 3.1 기준 9.8점(임계 수준)로 평가. :contentReference[oaicite:2]{index=2}

영향: WSUS 서버 역할이 활성화된 Windows Server 버전(예: 2012, 2016, 2019, 2022, 2025 등)에서 악용 가능성 확인됨. :contentReference[oaicite:3]{index=3}

1) 원인 (Root Cause)

WSUS의 일부 웹 서비스(end-points)에서 외부로부터 전송된 악성 요청이 ‘AuthorizationCookie’ 객체 등과 같이 직렬화된 데이터를 복원(Deserialize)하는 과정에서 적절한 검증 없이 BinaryFormatter를 사용하여 악성 객체가 실행될 수 있는 구조적 결함이 존재함. :contentReference[oaicite:4]{index=4}

2) 분석 (Impact & 탐지)

  • 원격 접속 가능한 WSUS 서버가 공격자가 준비한 페이로드를 포함한 SOAP/HTTP POST 요청을 통해 악성 객체를 주입, SYSTEM 권한 또는 동등한 권한으로 코드 실행 가능. :contentReference[oaicite:5]{index=5}
  • 활악용 관측: Cybersecurity and Infrastructure Security Agency(CISA)가 해당 CVE를 KEV(“Known Exploited Vulnerability”) 목록에 추가함. :contentReference[oaicite:7]{index=7}

탐지 가능한 징후

  • WSUS 서버 프로세스(예: wsusservice.exe, w3wp.exe)에서 비정상적인 자식 프로세스 실행 흐름(cmd.exe, powershell.exe 등) 발생. :contentReference[oaicite:8]{index=8}
  • 포트 8530/TCP 또는 8531/TCP에서 외부 의심 POST 요청 발생, 또는 로그에서 ‘ReportingWebService/ClientWebService’에 대한 비정상 접근. :contentReference[oaicite:9]{index=9}

3) 조치 (Immediate Mitigation)

  1. 패치 적용 — Microsoft는 2025-10-23자로 긴급 패치(Out-of-Band)를 배포하였으며, 대상 WSUS 설치 시스템은 즉시 해당 업데이트 설치 필요. :contentReference[oaicite:10]{index=10}
  2. 임시 완화 — WSUS 역할이 활성화된 서버가 아직 패치 전이라면 인바운드 포트 8530/8531 차단 또는 WSUS 서버 역할 비활성화 검토. :contentReference[oaicite:11]{index=11}
  3. 범위 점검 — 인터넷에 노출된 WSUS 인스턴스 식별 및 접근 제한, 외부 접근이 가능한지 여부 조사. :contentReference[oaicite:12]{index=12}

4) 결과 (결론 및 권고)

이 취약점은 기업·공공 인프라에서 WSUS 서버를 통해 다수의 클라이언트 시스템이 업데이트되는 구조적 특징을 악용함으로써, 단일 서버 침해로 조직 내부의 다수 시스템이 영향을 받을 수 있는 치명적 위험을 내포하고 있다.

주의: 패치가 적용되지 않은 인터넷 노출된 WSUS 서버는 즉시 우선 대응 대상입니다. 패치 적용 이후에도 관련 로그·이상 프로세스 탐지 및 내부 횡단 움직임에 대한 지속적 모니터링이 필요합니다.

[관련 글]

2025.10.28 - [IT 소식 뉴스/CVE CODE] - MS, WSUS 치명적 RCE(CVE-2025-59287) 재배포 — 즉시 패치적용 권고

 

MS, WSUS 치명적 RCE(CVE-2025-59287) 재배포 — 즉시 패치적용 권고

보안 경보 · 긴급 권고 MS, WSUS 치명적 RCE(CVE-2025-59287) 재배포 — 즉시 패치·완화 적용 권고 🛠 패치 적용Out-of-band 업데이트 즉시 설치 (KB5070882~4) 🚫 포트 차단8530 / 8531 인바운드 트래픽 즉시 차

one-day-growth.com

2025.11.02 - [경험 공유/Server] - 리눅스 서버 대상 루트킷 악성코드 진단

 

리눅스 서버 대상 루트킷 악성코드 진단

리눅스 서버 대상 루트킷 악성코드 진단 1️⃣ 개요 최근 일부 리눅스 서버에서 시스템 리소스 이상 사용, 의심스러운 프로세스, 비정상적인 커널 모듈이 발견되는 사례가 증가하고 있습니다.

one-day-growth.com

 

반응형
LIST
저작자표시 변경금지 (새창열림)

'IT 소식 뉴스 > CVE CODE' 카테고리의 다른 글

CVE-2025-62626 — AMD 젠5 RDSEED 난수 오류 분석  (0) 2025.11.06
Apache Tomcat 취약점 CVE-2025-52434 / 52520 / 53506  (0) 2025.11.04
CVE-2025-41244 — VMware Aria Operations 권한 상승 취약점  (2) 2025.11.03
REDIS Lua — CVE-2025-49844 / 46817 / 46818 / 46819  (2) 2025.11.02
[PostgreSQL] CVE-2025-1094 — quoting API SQL Injection  (0) 2025.11.02
IT 소식 뉴스/CVE CODE 관련 글
더 보기

티스토리툴바