آسیب‌پذیری WSUS CVE-2025-59287

مقدمه

در دنیای امنیت سایبری، مقابله با تهدیدهای نوظهور حیاتی است.
در ۲۴ اکتبر ۲۰۲۵، آژانس CISA وجود یک آسیب‌پذیری WSUS را با شناسه CVE-2025-59287 گزارش کرد.
این نقص بحرانی به مهاجمان اجازه می‌دهد بدون احراز هویت، کد از راه دور (RCE) را در سرور اجرا کنند.

در این مقاله از RootNet.ir، جزئیات فنی، تأثیرات، و روش‌های کاهش خطر این آسیب‌پذیری را بررسی می‌کنیم.

CVE-2025-59287 چیست؟

آسیب‌پذیری WSUS با شناسه CVE-2025-59287 ناشی از deserialization ناامن داده‌ها است.
با امتیاز CVSS ۹.۸ از ۱۰، این نقص یکی از بحرانی‌ترین تهدیدهای سال ۲۰۲۵ محسوب می‌شود.

مایکروسافت ابتدا در Patch Tuesday اکتبر ۲۰۲۵ وصله‌ای منتشر کرد اما به‌دلیل نقص در پچ اولیه، در ۲۳ اکتبر ۲۰۲۵ بروزرسانی اضطراری منتشر شد.

جزئیات فنی آسیب‌پذیری WSUS

این نقص در تابع GetCookie() رخ می‌دهد و از BinaryFormatter برای رمزگشایی داده‌ها استفاده می‌کند.
مهاجمان می‌توانند از طریق پورت‌های ۸۵۳۰ و ۸۵۳۱ با ارسال درخواست‌های HTTP دستکاری‌شده، کد مخرب خود را اجرا کنند.

ویژگی‌های کلیدی فنی:

• الگوریتم رمزگشایی: AES-128-CBC

• پورت‌های هدف: 8530 و 8531

• نتیجه حمله: اجرای کد از راه دور (RCE) با سطح دسترسی سیستم

بهره‌برداری فعال در محیط واقعی

محققان امنیتی در ۲۴ اکتبر ۲۰۲۵ بهره‌برداری واقعی از آسیب‌پذیری WSUS را مشاهده کردند.
این حملات در سطح جهانی انجام شده‌اند و مهاجمان توانستند دسترسی سطح SYSTEM را به‌دست آورند.

این موضوع اهمیت استفاده از پایش بلادرنگ (Real-Time Monitoring) و خدمات Incident Response را دوچندان می‌کند.

سیستم‌های تحت تأثیر

تمام نسخه‌های دارای نقش WSUS آسیب‌پذیر هستند:

• Windows Server 2012 / 2016 / 2019 / 2022 / 2025

اگر WSUS نصب نشده باشد، سیستم در امان است. اما باز بودن پورت‌های ۸۵۳۰/۸۵۳۱ می‌تواند سطح حمله را افزایش دهد.

راهکارهای کاهش خطر

برای جلوگیری از سوءاستفاده از آسیب‌پذیری WSUS مراحل زیر را انجام دهید:

1. نصب فوری پچ KB5070883 و ریبوت سرور

2. غیرفعال کردن WSUS یا مسدود کردن پورت‌های ۸۵۳۰ و ۸۵۳۱ در صورت عدم امکان پچ فوری

3. مانیتورینگ ترافیک و فعالیت مشکوک با ELK Stack و ابزارهای EDR

4. اجرای اسکن منظم آسیب‌پذیری‌ها و تفکیک شبکه‌ها

نهادهای فدرال باید طبق دستور CISA تا ۱۴ نوامبر ۲۰۲۵ این نقص را برطرف کنند.

نتیجه‌گیری

آسیب‌پذیری WSUS با شناسه CVE-2025-59287 نشان می‌دهد که تهدیدها همچنان در حال تکامل‌اند.
با نصب پچ‌ها، نظارت مداوم و آموزش تیم‌های IT، می‌توان ریسک این حمله را به حداقل رساند.

در RootNet.ir توصیه می‌کنیم این تجربه را در استراتژی امنیت سایبری خود لحاظ کنید تا در برابر حملات مشابه مقاوم‌تر شوید.

 منابع

• هشدار CISA

• گزارش The Hacker News

• تحلیل CrowdStrike از Patch Tuesday

• راهنمای امنیتی مایکروسافت

• جزئیات NVD