마이크로소프트의 윈도우 서버 업데이트 서비스(WSUS)에서 CVE-2025-59287로 추적되는 치명적 원격 코드 실행(RCE) 취약점이 발견되어 긴급 보안 업데이트가 배포되었다. WSUS 기능을 활성화한 윈도우 서버가 취약 대상이며, 전 세계에서 약 5,500개의 자산에 영향을 줄 수 있는 것으로 추정된다. 또한 해당 취약점을 악용한 실제 공격 사례도 확인되었기 때문에 미국 사이버보안 및 인프라 보안국(CISA)은 이 취약점을 CVSS 9.8의 치명적 취약점으로 분류해 알려진 악용(KEV) 목록에 포함하고, 즉시 보안 패치 적용을 권고했다.
| 취약점 | CVE-2025-59287 |
|---|---|
| 취약점 공개일 | 2025년 10월 14일 |
| 취약점 점수 | 9.8(Critical) |
| 설명 | WSUS에서 신뢰할 수 없는 데이터의 역직렬화를 통해 권한 없는 공격자가 네트워크를 통해 코드를 실행할 수 있음 |
| 취약점 영향 제품 | WSUS 서버 역할이 활성화된 Windows Server 2012~2025 버전 |
| ※ WSUS는 기본적으로 비활성화 상태 | |
| 악용 사례 | O |
CVE-2025-59287의 개념 증명(PoC)이 공개된 후, 여러 보안 업체들이 취약점 스캐닝과 악용 활동을 탐지했다. 공격자들은 다음과 같은 공격 형태를 나타낸다.
| 초기 접근 | 8530(HTTP) 및 8531(HTTPS) TCP 포트를 통해 공개적으로 노출된 WSUS 인스턴스 공격 |
|---|---|
| 실행 | 특정 프로세스를 통해 악성 Powershell 실행 |
CVE-2025-59287 취약점 악용 사례 공격 흐름
| 시간 | 내용 |
|---|---|
| 2025-10-08 | 불안정한 취약점 정기 패치 진행 |
| 2025-10-14 | 취약점 식별(초기 패치 포함됨) |
| 2025-10-23 | Microsoft 긴급(Out-of-Band) 패치 공개 |
| 2025-10-23 | PoC/공개 코드 및 실제 익스플로잇 활동 관측 |
| 2025-10-24 | CISA가 취약점을 KEV 리스트에 추가 |
즉시 보안 패치를 적용해야 하며, 패치를 적용할 수 없는 경우 WSUS 서버 역할을 비활성화하거나, 방화벽에서 포트 8530과 8531로의 인바운드 트래픽을 차단해야 한다.