close
프로필 배경
프로필 로고

일상 나누기

IT 소식 뉴스/CVE CODE · 2025. 10. 28. fullscreen 넓게보기

MS, WSUS 치명적 RCE(CVE-2025-59287) 재배포 — 즉시 패치적용 권고

반응형

MS, WSUS 치명적 RCE(CVE-2025-59287) 재배포 — 즉시 패치·완화 적용 권고
보안 경보 · 긴급 권고

MS, WSUS 치명적 RCE(CVE-2025-59287) 재배포 — 즉시 패치·완화 적용 권고

🛠
패치 적용
Out-of-band 업데이트 즉시 설치 (KB5070882~4)
🚫
포트 차단
8530 / 8531 인바운드 트래픽 즉시 차단
🔒
WSUS 격리
외부 네트워크 노출 WSUS 즉시 분리
🔍
로그 점검
의심스러운 프로세스·이벤트 집중 확인

마이크로소프트가 윈도우 서버의 패치 관리 기능인 WSUS(Windows Server Update Services)에서 발견된 원격코드실행(RCE) 취약점 CVE-2025-59287에 대해 긴급(out-of-band) 보안 업데이트를 다시 배포했습니다. 이 취약점은 이미 실제 공격에 악용되는 사례가 보고되어 즉각적인 조치가 필요합니다.

무엇이 문제인가?

CVE-2025-59287은 WSUS의 특정 입력을 처리하는 과정에서 발생하는 역직렬화 취약점으로, 공격자가 SYSTEM 권한을 획득해 임의 코드를 실행할 수 있습니다. CVSS 점수는 9.8로 평가되며, CISA는 이미 이를 Known Exploited Vulnerability(KEV) 목록에 추가했습니다.

핵심 요약
  • 취약점: CVE-2025-59287 (WSUS RCE) — CVSS 9.8 (치명)
  • 상황: 실제 공격 관측 → 긴급 패치 재배포
  • 대상: Windows Server 2012~2025 (WSUS 활성화 환경)
  • 조치: 즉시 패치 또는 임시 완화조치 적용

영향받는 환경

WSUS 서버 역할이 활성화된 모든 Windows Server 버전(2012, 2016, 2019, 2022, 2025)이 영향을 받습니다. 기본적으로 WSUS는 비활성 상태지만, 기업 내 중앙 패치 관리 서버로 사용 중이라면 노출 가능성이 높습니다.

공식 패치 및 KB 링크

버전KB 번호다운로드
Windows Server 2016KB5070882공식 KB 링크
Windows Server 2019KB5070883공식 KB 링크
Windows Server 2022KB5070884공식 KB 링크

임시 대응 방안

  • WSUS 서버 역할을 일시적으로 비활성화
  • 방화벽에서 8530/TCP, 8531/TCP 인바운드 차단
  • 외부 노출된 WSUS 서버는 즉시 격리
  • WSUS 이벤트 로그에서 비정상 요청 탐지 및 프로세스 실행 모니터링
1
[1단계] WSUS 서버 외부 노출 확인

공용 IP 또는 포트(8530/TCP, 8531/TCP)가 외부에서 접근 가능한지 점검합니다. 외부 노출이 확인되면 즉시 네트워크 접근 차단(ACL) 또는 물리/가상 네트워크 분리(격리)를 수행하세요.

점검 항목: 공용 IP, NAT/포워딩, 엣지 방화벽 규칙, 클라우드 보안 그룹
2
[2단계] WSUS 서버 역할 일시 비활성화

Server Manager 또는 PowerShell로 WSUS 역할을 일시 중지합니다. 복구 계획 수립 전까지 서비스(동기화) 재개를 보류하세요.

# 예: PowerShell (관리자 권한)
Uninstall-WindowsFeature -Name UpdateServices
중요: 변경 전 현재 설정·데이터 백업(구성 DB 스냅샷) 권장
3
[3단계] 방화벽에서 포트 차단 (8530/TCP, 8531/TCP)

호스트 방화벽(Windows Firewall) 및 엣지(네트워크) 방화벽에서 인바운드 트래픽을 모두 차단하세요. 필요 시 80/443 등 관리 포트도 접근 제어합니다.

권장: 방화벽 규칙 적용 후 내부에서 서비스 재시도(클라이언트 업데이트 흐름) 점검
4
[4단계] 이벤트 로그 및 프로세스 모니터링

WSUS 관련 이벤트 로그(동기화 요청·인증 실패 등)와 프로세스 체인을 모니터링합니다. 특히 w3wp.exe → cmd.exe / powershell.exe 연쇄 실행, 비정상 네트워크 연결을 찾아 즉시 조사하세요.

발견 시: 포렌식 이미지(메모리·디스크) 확보, 관리자 자격증명 회수, 보안관제 보고

현장 대응 체크리스트

  • 패치 적용 후 서비스 재시작 및 정상 동기화 확인
  • WSUS 로그에 의심 명령 실행 흔적(w3wp.exe→cmd.exe) 존재 여부 확인
  • 관리자 계정·자격증명 변경 및 비밀번호 회수
  • 포렌식 대비를 위한 시스템 스냅샷·메모리 덤프 보존

전문가 코멘트

보안 전문가들은 “패치 관리 서버는 조직 내에서 가장 신뢰도가 높은 인프라 중 하나”라며 “이를 악용하는 공격은 조직 전체 보안을 위협한다”고 경고합니다. 즉각적인 패치와 재점검이 필요합니다.

출처: Microsoft Security Update, CISA KEV, The Hacker News, Huntress, BleepingComputer, Palo Alto Unit42

반응형
반응형
LIST
저작자표시 변경금지 (새창열림)

'IT 소식 뉴스 > CVE CODE' 카테고리의 다른 글

CVE-2025-61932 — Lanscope Endpoint Manager 원격 코드 실행 취약점  (1) 2025.11.02
CVE-2024-5535 | OpenSSL SSL_select_next_proto 권한 상승 취약점  (4) 2025.10.30
Windows11 - 10월 CVE 목록 및 대응 방법 (CVE-2025-59275, CVE-2025-59261, CVE-2025-59210, CVE-2025-33073, CVE-2025-29828  (0) 2025.10.30
OpenSSH CVE-2023-38408  (3) 2025.10.21
레디스(Redis) 루아 취약점 'RediShell' CVE-2025-49844 분석  (4) 2025.10.16
IT 소식 뉴스/CVE CODE 관련 글
더 보기

티스토리툴바