概要

SANS Internet Storm Centerのセキュリティ研究者らは、Windows Server Update Services (WSUS) インフラストラクチャを標的とした不審なネットワークトラフィックが世界中で大幅に増加していることを検出しました。この偵察活動は、特にTCPポート8530と8531に焦点を当てています。これらのポートは、最近開示されたCVE-2025-59287に対して脆弱なWSUSサーバーの暗号化されていない通信チャネルと暗号化された通信チャネルに対応しています。この組織的なスキャンキャンペーンは、脅威アクターが侵害可能な露出したシステムを積極的に探索していることを示唆しています。

CVE-2025-59287の脅威

公式にCVE-2025-59287として追跡されているこの脆弱性は、WSUSサーバーに影響を与える重大なセキュリティ上の欠陥です。攻撃者は、ポート8530（標準HTTP通信用）またはポート8531（暗号化されたHTTPS接続用）を介して脆弱なシステムに接続することで、この脆弱性を悪用します。一度接続されると、悪意のあるアクターは影響を受けるサーバー上で任意のスクリプトを実行でき、システム、そして潜在的にはそれが管理するネットワークインフラストラクチャ全体を実質的に制御できるようになります。この機能により、侵害されたWSUSサーバーが組織内の数百または数千の接続されたコンピューターに悪意のあるパッチを配布できるため、この脆弱性は特に危険です。

スキャン活動の詳細

複数のファイアウォールセンサーとセキュリティ監視ネットワークから収集されたデータは、前週を通じてスキャン試行のエスカレーションを確認しました。一部の偵察は、Shadowserverやその他のサイバーセキュリティ組織が実施する正規のテストおよび脆弱性評価を含む、既知のセキュリティ研究ソースから発信されました。しかし、セキュリティチームは、正規の研究活動とは関連のないIPアドレスからのスキャン活動も特定しており、これは脆弱なインフラストラクチャを標的とした真の脅威アクターによる偵察活動を示しています。この区別は、犯罪者が単に研究発表に対応しているのではなく、露出したWSUSサーバーを積極的に探していることを示しているため、非常に重要です。

SANS.eduの研究部長であるヨハネス・ウルリッヒ氏は、露出した脆弱なWSUSサーバーを持つ組織は、そのシステムがすでに侵害されていると見なすべきだと強調しました。この厳しい評価は、脅威の深刻さを反映しています。脆弱性に関する詳細な技術情報が公開されているため、攻撃者は影響を受けるシステムを迅速に特定し、悪用するために必要な知識とツールを持っています。比較的簡単な悪用プロセスは、脅威アクターが初期偵察から完全なシステム侵害へと迅速に移行できることを意味し、多くの場合、脆弱なサーバーを発見してから数分以内に完了します。

推奨される対策

WSUSインフラストラクチャを管理する組織は、この脅威を最大限の緊急性をもって対処する必要があります。システム管理者は、WSUSの展開が脆弱なバージョンで実行されているかどうかを確認し、利用可能なパッチを直ちに適用する必要があります。パッチを適用できない場合は、WSUSサーバーが重要なシステムから隔離され、許可された管理者ユーザーのみがアクセスできるように、即座にネットワークセグメンテーションを実装する必要があります。さらに、ポート8530および8531への不審な接続についてファイアウォールログを確認することは、システムがすでにスキャン活動によって標的または侵害されているかどうかを特定するのに役立ちます。セキュリティチームは、適切な認証制御なしにインターネットに露出しているWSUSサーバーは、インフラストラクチャ全体に対する差し迫った脅威であると想定すべきです。

元記事: https://gbhackers.com/hackers-actively-scanning-tcp-ports-8530-8531/