出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32440
原題: Scans for Port 8530/8531 (TCP). Likely related to WSUS Vulnerability CVE-2025-59287, (Sun, Nov 2nd)
WSUSの重大な脆弱性CVE-2025-59287を狙ったスキャン急増の警告
MicrosoftのWindows Server Update Services(WSUS)に存在する重大な脆弱性「CVE-2025-59287」を狙ったポート8530および8531へのスキャン活動が急増しています。本記事では、この脆弱性の概要と攻撃の状況、そして対策の重要性について解説します。
主要なポイント
- ポート8530/8531へのスキャン急増:ファイアウォールログを監視する複数のセンサーにより、WSUSが使用するTCPポート8530(非TLS)および8531(TLS)へのスキャンが大幅に増加していることが確認されました。
- CVE-2025-59287の概要:この脆弱性は、WSUSサーバーのポート8530または8531に接続することで悪用可能で、攻撃者はサーバー上で任意のスクリプトを実行できるため、深刻なリスクをもたらします。
- 攻撃の段階:攻撃者はまず偵察(スキャン)を行い、脆弱なサーバーを特定した後にネットワーク侵害を試みるため、スキャンの増加は実際の攻撃の前兆と考えられます。
- 既に侵害されている可能性:攻撃手法の詳細が公開されているため、露出している脆弱なWSUSサーバーは既に侵害されている可能性が高く、早急な対応が必要です。
技術的な詳細や背景情報
WSUSは企業内のWindows端末に対して更新プログラムを配布・管理するためのサービスであり、通常TCPポート8530(HTTP)および8531(HTTPS)を使用します。CVE-2025-59287は、このWSUSサーバーの通信ポートに対して不正に接続することで、認証を回避し任意のスクリプトを実行できる脆弱性です。
この脆弱性を悪用されると、攻撃者はWSUSサーバーを足がかりにして社内ネットワークに侵入し、さらなるマルウェア感染や情報漏洩を引き起こす恐れがあります。スキャンはShadowserverなどのセキュリティ研究者によるものも含まれますが、悪意のある攻撃者によるものも混在しているため注意が必要です。
影響や重要性
WSUSは多くの企業で重要なインフラとして利用されているため、この脆弱性が悪用されると大規模な被害につながる可能性があります。特に、管理者が脆弱なWSUSサーバーを放置している場合、攻撃者は容易に社内ネットワークに侵入し、ランサムウェア攻撃や機密情報の窃取を行うリスクが高まります。
また、攻撃に関する情報が公開されているため、攻撃者は既知の手法を用いて迅速に侵害を試みることが予想され、早急な対応が求められます。
まとめ
WSUSの脆弱性CVE-2025-59287を狙ったポート8530および8531へのスキャンが急増しており、既に多くの脆弱なサーバーが攻撃対象となっています。企業は自社のWSUSサーバーの状態を早急に確認し、最新のセキュリティパッチ適用や不要なポートの閉鎖などの対策を実施することが重要です。攻撃の兆候を見逃さず、ネットワークの安全を確保しましょう。
