Siber güvenlik araştırmacıları ve güvenlik duvarı izleme hizmetleri, Windows Server Update Services (WSUS) altyapısını hedef alan keşif faaliyetlerinde çarpıcı bir artış tespit etti.
Shadowserver’dan alınan veriler de dahil olmak üzere güvenlik kuruluşlarından toplanan ağ sensörleri, geçtiğimiz hafta 8530 ve 8531 numaralı TCP bağlantı noktalarına yönelik taramalarda önemli bir artış olduğunu gösteriyor.
Bazı tarama etkinlikleri meşru güvenlik araştırma girişimleriyle bağlantılı gibi görünse de analistler, bilinen araştırma kuruluşlarıyla ilişkili olmayan bilinmeyen kaynaklardan gelen ek trafik tespit ederek, olası istismar girişimlerine ilişkin endişeleri artırdı.
Tarama etkinliği, WSUS sunucularında uzaktan kod yürütülmesine olanak tanıyan kritik bir güvenlik açığı olan CVE-2025-59287 ile doğrudan ilişkilidir.
Saldırganlar, 8530 (şifrelenmemiş) veya 8531 (TLS şifreli) bağlantı noktası üzerinden savunmasız WSUS altyapısına bağlanarak bu kusurdan yararlanabilir.
Başarılı bir bağlantı kurmak, tehdit aktörlerinin herhangi bir kimlik doğrulama gereksinimi olmaksızın, güvenliği ihlal edilmiş sunucularda rastgele komut dosyalarını doğrudan yürütmesine olanak tanır.
Keşif ve Ardından Tam Uzlaşma
SANS analizi, tehdit aktörlerinin WSUS sunucularını hedef alırken genellikle iki aşamalı bir saldırı modelini izlediğini ortaya koyuyor. İlk aşama keşif ve Bağlantı noktası tarama etkinliğindeki son artışla uyumlu olarak savunmasız sistemleri belirlemek için tarama.
Saldırganlar, duyarlı sunucuları başarılı bir şekilde tespit edip onlara bağlandıktan sonra, etkilenen altyapı üzerinde kapsamlı kontrol sağlayan kötü amaçlı komut dosyalarını dağıtarak yararlanma aşamasına geçerler.
Uzmanlar, güvenlik açığı özellikleri sergileyen, kamuya açık herhangi bir WSUS sunucusunun bu aşamada tehlikeye girdiğinin varsayılması gerektiğini vurguluyor.
Kamuya yapılan açıklamalarda yeterli teknik ayrıntıların bulunması, potansiyel saldırganların giriş engelini azaltarak, orta düzeyde beceriye sahip tehdit aktörlerinin bile yararlanma kodu geliştirmesine ve dağıtmasına olanak tanıdı.
Kuruluşlar, internete yönelik ağlara bağlı olan güvenlik açığı profiliyle eşleşen tüm sistemlere karşı halihazırda istismar girişimlerinin gerçekleştiğini varsaymalıdır.
Bu güvenlik açığının ciddiyeti, sistem yöneticilerinin ve WSUS dağıtımlarını yöneten güvenlik ekiplerinin acil eyleme geçmesini gerektirmektedir. Kuruluşların, güvenilmeyen ağlardan erişilebilen WSUS sunucularını belirlemek için ağ çevrelerini derhal denetlemeleri gerekir.
| CVE kimliği | Güvenlik Açığı | Etkilenen Ürünler | CVSS Puanı |
|---|---|---|---|
| CVE-2025-59287 | WSUS Komut Dosyasının Yürütülmesi | Windows Server Güncelleme Hizmetleri (Birden çok sürüm) | 9.8 |
Açığa çıkan örnekleri keşfedenler, acil durum izolasyon prosedürlerini uygulamalı ve riskin oluşup oluşmadığını belirlemek için kapsamlı adli tıp araştırmaları yapmalıdır.
Anında düzeltme eki bulunamayan kuruluşlar, WSUS sunucusu erişimini yalnızca yetkili dahili ağlarla sınırlandırarak ağ bölümlendirmesini uygulamalıdır.
Gelişmiş tehdit algılama sistemleri, şüpheli giden bağlantılar ve WSUS süreçlerinden kaynaklanan komut dosyası yürütme konusunda uyarı verecek şekilde yapılandırılmalıdır; çünkü bu davranışlar genellikle başarılı bir uzlaşmaya işaret eder.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
