أمرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) الوكالات الحكومية الأمريكية بتصحيح ثغرة أمنية بالغة الخطورة في Windows Server Update Services (WSUS) بعد إضافتها إلى قائمة العيوب الأمنية التي تم استغلالها في الهجمات.
تتبع باسم”https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287″ الهدف=”_blank” rel=”nofollow noopener”>CVE-2025-59287، تؤثر مشكلة عدم حصانة تنفيذ التعليمات البرمجية عن بُعد (RCE) التي تم استغلالها بشكل نشط، على خوادم Windows التي لها دور خادم WSUS (ميزة لا يتم تمكينها افتراضيًا) والتي تعمل كمصادر تحديث لخوادم WSUS الأخرى داخل المؤسسة.
يمكن للمهاجمين إساءة استخدامه عن بعد في هجمات منخفضة التعقيد لا تتطلب تفاعل المستخدم أو امتيازاته، مما يسمح لهم بالحصول على امتيازات النظام وتشغيل تعليمات برمجية ضارة.
يوم الخميس، بعد إطلاق شركة الأمن السيبراني HawkTrace Security”https://hawktrace.com/blog/CVE-2025-59287″ الهدف=”_blank” rel=”nofollow noopener”> رمز استغلال إثبات المفهوم، مايكروسوفت”https://www.bleepingcomputer.com/news/security/microsoft-releases-windows-server-emergency-updates-for-critical-wsus-rce-flaw/” الهدف=”_blank” rel=”nofollow noopener”> تم إصدار تحديثات أمنية خارج النطاق ل “comprehensively address CVE-2025-59287” على كافة إصدارات Windows Server المتأثرة ونصحت مسؤولي تكنولوجيا المعلومات بتثبيتها في أقرب وقت ممكن.
يُنصح مسؤولو تكنولوجيا المعلومات الذين لا يمكنهم نشر تصحيحات الطوارئ على الفور بتعطيل دور خادم WSUS على الأنظمة الضعيفة لإزالة ناقل الهجوم.
الاستغلال النشط في البرية
في اليوم الذي تم فيه إصدار تصحيحات CVE-2025-59287، قامت شركة الأمن السيبراني الأمريكية Huntress”http://www.huntress.com/blog/exploitation-of-windows-server-update-services-remote-code-execution-vulnerability” الهدف=”_blank” rel=”nofollow noopener”> العثور على دليل على هجمات CVE-2025-59287 استهداف مثيلات WSUS بمنافذها الافتراضية (8530/TCP و8531/TCP) المكشوفة عبر الإنترنت.
شركة الأمن السيبراني الهولندية Eye Security أيضًا”https://www.linkedin.com/posts/eyesecurity_active-exploitation-of-%F0%9D%97%AA%F0%9D%97%A6%F0%9D%97%A8%F0%9D%97%A6-cve-2025-activity-7387398633383415808-tqLD/” الهدف=”_blank” rel=”nofollow noopener”>ملاحظة محاولات المسح والاستغلال صباح يوم الجمعة على الأقل”https://research.eye.security/wsus-deserialization-exploit-in-the-wild-cve-2025-59287/” الهدف=”_blank” rel=”nofollow noopener”> تعرض أحد أنظمة عملائها للخطر باستخدام برمجية استغلال مختلفة عن تلك التي شاركتها Hawktrace خلال عطلة نهاية الأسبوع.
بينما صنفت Microsoft CVE-2025-59287 على أنها “ الاستغلال أكثر احتمالا“، مع الإشارة إليها كهدف جذاب للجهات الفاعلة في مجال التهديد، فإنها لم تقم بعد بتحديث تحذيرها الأمني لتأكيد الاستغلال النشط.
ومنذ ذلك الحين، أصبحت مجموعة مراقبة الإنترنت Shadowserver”https://bsky.app/profile/shadowserver.bsky.social/post/3m44khfqbwk2c” الهدف=”_blank” rel=”nofollow noopener”> يتم التتبع أكثر من 2800 مثيل WSUS مع المنافذ الافتراضية (8530/8531) مكشوفة عبر الإنترنت، على الرغم من أنها لم تذكر عدد الحالات التي تم تصحيحها بالفعل.
أمرت الوكالات الفيدرالية بالتصحيح
أضافت وكالة الأمن السيبراني يوم الجمعة عيبًا ثانيًا يؤثر على متاجر Adobe Commerce (Magento سابقًا)، وهو أيضًا”https://www.bleepingcomputer.com/news/security/hackers-exploiting-critical-sessionreaper-flaw-in-adobe-magento/” الهدف=”_blank” rel=”nofollow noopener”>تم تصنيفها على أنها مستغلة في الهجمات الأسبوع الماضي.
CISA”https://www.cisa.gov/news-events/alerts/2025/10/24/cisa-adds-two-known-exploited-vulnerabilities-catalog” الهدف=”_blank” rel=”nofollow noopener”>أضيفت كل من نقاط الضعف ل”https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2025-59287%2C+CVE-2025-54236&field_date_added_wrapper=all&field_cve=&sort_by=field_date_added&items_per_page=20&url=” الهدف=”_blank” rel=”nofollow noopener”> كتالوج الثغرات الأمنية المستغلة المعروفة، الذي يسرد العيوب الأمنية التي يتم استغلالها في البرية.
وفقًا لما نص عليه التوجيه التشغيلي الملزم (BOD) 22-01 الصادر في نوفمبر 2021، يجب على وكالات السلطة التنفيذية المدنية الفيدرالية الأمريكية (FCEB) تصحيح أنظمتها في غضون ثلاثة أسابيع، بحلول 14 نوفمبر، لتأمينها ضد الانتهاكات المحتملة.
في حين أن هذا ينطبق فقط على الوكالات الحكومية الأمريكية، يُنصح جميع مسؤولي تكنولوجيا المعلومات والمدافعين بإعطاء الأولوية لتصحيح هذه العيوب الأمنية في أقرب وقت ممكن.
“These types of vulnerabilities are frequent attack vectors for malicious cyber actors and poses significant risks to the federal enterprise,” قال CISA.
“CISA strongly urges organizations to implement Microsoft’s updated Windows Server Update Service (WSUS) Remote Code Execution Vulnerability guidance, 1 or risk an unauthenticated actor achieving remote code execution with system privileges,” وأضاف.
توصي CISA بأن يقوم المدافعون عن الشبكة بتحديد جميع الخوادم المعرضة للخطر وتطبيق التحديثات الأمنية خارج النطاق لـ CVE-2025-59287. بعد التثبيت، أعد تشغيل خوادم WSUS لإكمال عملية التخفيف وتأمين خوادم Windows المتبقية.