江苏
关键词
安全漏洞
近期,网络安全研究人员与防火墙监测服务发现,大量扫描活动正集中针对 Windows Server Update Services(WSUS)基础设施,特别是 TCP 端口 8530 与 8531。根据包括 Shadowserver 在内的安全组织网络传感器数据,这两组端口的探测行为在过去一周内急剧上升。
虽然部分扫描源与安全研究项目相关,但分析人员同时发现,大量来自未知实体的探测流量,这些活动与任何已知安全研究机构无关,表明可能存在恶意攻击者正准备利用漏洞。该行为与近期公开的严重漏洞 CVE-2025-59287 高度吻合——此漏洞可使攻击者在 WSUS 服务器上远程执行任意代码。
攻击者可通过连接至未加密的 8530 端口或使用 TLS 加密的 8531 端口,直接访问存在漏洞的 WSUS 服务。一旦连接建立,便可在目标系统上无认证地执行恶意脚本,完全控制受害服务器。
SANS 的分析显示,这类攻击通常分为两个阶段:第一阶段是侦察与扫描,用于识别可被利用的系统;第二阶段是实际利用,攻击者会向确认存在漏洞的服务器植入恶意脚本,从而获得深层控制。鉴于当前大规模扫描行为,专家认为所有暴露在公网且具备漏洞特征的 WSUS 实例都应视为已遭入侵。
漏洞信息已在公开渠道广泛传播,技术细节充足,极大降低了攻击门槛,使中等水平的威胁行为者也能轻易构造并部署利用代码。安全专家警告,任何暴露在互联网环境中的 WSUS 服务都应立即视为潜在受害目标。
目前,该漏洞(CVE-2025-59287)的严重等级高达 9.8,影响多个版本的 WSUS 服务。安全团队与系统管理员应立即检查网络边界,确认是否存在可从外部访问的 WSUS 服务器。一旦发现,应立即采取隔离措施,并执行全面的取证分析,以判断是否已被攻击。
对于尚未能及时部署补丁的组织,建议通过网络分段限制 WSUS 服务仅对内部授权网络开放。同时,应启用高级威胁检测机制,对 WSUS 进程异常脚本执行与可疑外联行为进行实时监控,以便第一时间识别入侵迹象。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
