出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32440
原題: Scans for Port 8530/8531 (TCP). Likely related to WSUS Vulnerability CVE-2025-59287, (Sun, Nov 2nd)
WSUSのCVE-2025-59287脆弱性を狙ったスキャン活動が急増中
最近、Windows Server Update Services(WSUS)の脆弱性「CVE-2025-59287」を狙ったポート8530および8531へのスキャンが急激に増加しています。この脆弱性は、攻撃者がWSUSサーバーにリモートから不正アクセスし、悪意あるスクリプトを実行できる深刻な問題です。
主要なポイント
- ポート8530/8531へのスキャン増加:ファイアウォールログを監視する複数のセンサーから、WSUSの標準ポートであるTCP 8530(非TLS)および8531(TLS)へのスキャンが著しく増加していることが報告されています。
- CVE-2025-59287の悪用:この脆弱性は、攻撃者が対象WSUSサーバーの該当ポートに接続することで、リモートからスクリプトを実行可能になるもので、ネットワーク侵害の足掛かりとなります。
- 攻撃者の偵察活動:スキャンは通常、攻撃の初期段階である偵察活動の一環であり、脆弱なサーバーを特定した後に本格的な侵害が行われる可能性があります。
- 既に侵害されている可能性:公開されている情報から、現時点で脆弱なWSUSサーバーはすでに攻撃者に侵害されている可能性が高いと見なされています。
- 調査関連IP以外からのアクセスも確認:一部のスキャンはShadowserverなどの研究機関からのものですが、未知のIPアドレスからのアクセスも多数検出されており、悪意ある攻撃の可能性が懸念されています。
技術的な詳細と背景情報
WSUS(Windows Server Update Services)は、企業内ネットワークでWindowsの更新プログラムを一元管理・配布するためのサービスです。通常、WSUSはTCPポート8530(HTTP)および8531(HTTPS)で通信を行います。
CVE-2025-59287は、これらのポートを通じてリモートから悪意あるコードを実行可能にする脆弱性で、認証を必要としない場合もあります。攻撃者はまずポートスキャンを行い、脆弱なWSUSサーバーを特定します。その後、特別に細工されたリクエストを送信し、サーバー上で任意のスクリプトを実行してシステム制御を奪取します。
この脆弱性の悪用は、ネットワーク内の他のシステムへの横展開や情報漏洩、ランサムウェア攻撃の踏み台となる恐れがあります。
影響と重要性
WSUSは多くの企業でWindowsアップデートの配布に使われているため、この脆弱性が悪用されると大規模なネットワーク侵害につながるリスクがあります。特に、社内の重要なサーバーが攻撃者に制御されることで、組織全体のセキュリティが著しく低下します。
また、攻撃者はこの脆弱性を利用してマルウェアを配布したり、内部情報を窃取したりする可能性があるため、早急な対応が求められます。既にスキャン活動が活発化していることから、未対策のWSUSサーバーは即座に保護措置を講じる必要があります。
まとめ
WSUSのCVE-2025-59287脆弱性を狙ったポート8530および8531へのスキャンが急増しており、攻撃のリスクが高まっています。企業はWSUSサーバーの脆弱性を早急に確認し、最新のセキュリティパッチ適用や不要なポートの閉鎖、アクセス制御の強化を実施することが重要です。さらに、ファイアウォールログの監視や不審なアクセスの検知体制を強化し、侵害の兆候を早期に発見できるようにしましょう。
