CISA Perintahkan Lembaga Federal AS Segera Tambal Celah Kritis di Windows Server WSUS yang Tengah Dieksploitasi
Washington D.C. — Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) secara resmi memerintahkan seluruh lembaga pemerintahan federal untuk segera menambal kerentanan kritis pada Windows Server Update Services (WSUS) yang saat ini tengah aktif dieksploitasi dalam serangan siber.
Celah keamanan tersebut, teridentifikasi sebagai CVE-2025-59287, memiliki tingkat keparahan Remote Code Execution (RCE) dan berpotensi wormable, memungkinkan penyerang menjalankan kode berbahaya dengan hak istimewa SYSTEM tanpa interaksi pengguna maupun kredensial khusus.
⚠️ Celah Kritis di WSUS dengan Risiko Eksploitasi Massal
Kerentanan ini hanya memengaruhi server Windows dengan peran WSUS Server diaktifkan — fitur yang digunakan untuk mendistribusikan pembaruan ke server WSUS lain dalam jaringan organisasi.
Serangan dapat dilakukan secara jarak jauh dengan kompleksitas rendah, menjadikannya target menarik bagi pelaku ancaman.
Eksploitasi ini muncul tak lama setelah HawkTrace Security merilis kode bukti konsep (proof-of-concept), diikuti oleh pembaruan darurat (out-of-band) dari Microsoft yang dirilis pada hari Kamis untuk seluruh versi Windows Server terdampak.
Administrator IT disarankan untuk segera menginstal patch tersebut atau, jika tidak memungkinkan, menonaktifkan peran WSUS Server guna menutup vektor serangan sementara waktu.
🔍 Eksploitasi Aktif di Lapangan
Pada hari yang sama pembaruan dirilis, Huntress Labs mendeteksi serangan yang menargetkan port WSUS default (8530/TCP dan 8531/TCP) yang terekspos ke internet.
Firma keamanan siber Belanda, Eye Security, juga melaporkan pemindaian dan eksploitasi aktif pada Jumat pagi, dengan sedikitnya satu sistem pelanggan telah berhasil disusupi menggunakan varian eksploitasi berbeda dari versi publik HawkTrace.
Sementara itu, lembaga pemantau internet Shadowserver Foundation mencatat lebih dari 2.800 instance WSUS masih terbuka di internet melalui port default tersebut. Belum diketahui berapa banyak yang sudah diperbarui.
Microsoft sendiri menandai CVE-2025-59287 dengan status “Exploitation More Likely”, menunjukkan kemungkinan eksploitasi tinggi oleh penyerang, meski belum memperbarui advisory resmi untuk mengonfirmasi aktivitas eksploitasi secara luas.
🏛️ CISA Wajibkan Patch Maksimal 14 November
Pada hari Jumat, CISA menambahkan CVE-2025-59287 ke dalam daftar Known Exploited Vulnerabilities (KEV) — katalog resmi berisi celah keamanan yang telah aktif dieksploitasi.
Bersamaan dengan itu, satu celah baru di Adobe Commerce (Magento) juga dimasukkan ke daftar.
Sesuai Binding Operational Directive (BOD) 22-01 yang diterbitkan pada November 2021, seluruh Federal Civilian Executive Branch (FCEB) diwajibkan untuk menambal sistem mereka dalam waktu tiga minggu, yaitu paling lambat 14 November 2025.
🧩 Imbauan untuk Semua Administrator IT
Walau instruksi ini secara hukum berlaku untuk lembaga pemerintah AS, CISA juga menyerukan seluruh organisasi global untuk segera:
- Mengidentifikasi server WSUS yang rentan,
- Menerapkan patch darurat Microsoft,
- Melakukan reboot setelah instalasi untuk memastikan mitigasi aktif.
“Kerentanan seperti ini sering menjadi vektor serangan utama bagi pelaku kejahatan siber dan menimbulkan risiko signifikan terhadap sistem federal,”
tulis CISA dalam pernyataannya.“Kami sangat mendorong semua organisasi untuk mengikuti panduan mitigasi Microsoft terkait WSUS Remote Code Execution Vulnerability — atau berisiko menghadapi eskalasi serangan dengan hak sistem penuh.”
🛡️ Rekomendasi Tambahan CISA
- Segera lakukan audit jaringan untuk memastikan tidak ada port WSUS (8530/8531) yang terekspos publik.
- Gunakan firewall dan segmentasi jaringan untuk membatasi akses WSUS hanya dari internal.
- Aktifkan pemantauan anomali untuk mendeteksi aktivitas mencurigakan terkait proses WSUS.
Sumber: CISA
