В конце ноября 2025 года в рамках банка данных уязвимостей (BDU) была зарегистрирована новая критическая уязвимость, получившая идентификатор BDU:2025-14768. Эта уязвимость затрагивает балансировщик нагрузки веб-трафика Azure Application Gateway от компании Microsoft. Эксперты присвоили проблеме максимальный уровень опасности из-за высокой степени потенциального воздействия на безопасность облачных систем.
Детали узявимости
Суть уязвимости заключается в критической ошибке типа "переполнение буфера в стеке" (Stack-based Buffer Overflow, CWE-121). Технически, эта ошибка возникает, когда операция записи данных выходит за границы выделенного буфера в памяти стека. В контексте Azure Application Gateway, удаленный злоумышленник может потенциально использовать эту уязвимость для манипулирования структурами данных. Следовательно, успешная эксплуатация может позволить атакующему повысить свои привилегии в системе.
Оценка по методологии CVSS (Common Vulnerability Scoring System) подчеркивает серьезность угрозы. По версии CVSS 2.0 уязвимость получила базовый балл 10.0, что соответствует критическому уровню. Вектор атаки обозначен как AV:N (сеть), сложность атаки - AC:L (низкая), а требования к аутентификации - Au:N (отсутствуют). Более современная версия CVSS 3.1 также оценивает уязвимость почти на максимум - в 9.8 баллов. Здесь указаны параметры PR:N (привилегии не требуются) и UI:N (взаимодействие с пользователем не нужно), что означает возможность полностью удаленной атаки без участия человека.
Важно отметить, что уязвимость уже подтверждена производителем, Microsoft, и ей присвоен идентификатор CVE-2025-64657. Согласно официальному бюллетеню безопасности Microsoft, проблема была устранена. Основным и единственным рекомендованным способом защиты является своевременное обновление программного обеспечения Azure Application Gateway. Компания настоятельно призывает всех клиентов обратиться к своему центру обновления Azure и применить последние патчи.
Azure Application Gateway - это ключевой компонент облачной инфраструктуры многих организаций. Он функционирует как балансировщик нагрузки веб-трафика уровня 7, обеспечивая маршрутизацию, безопасность и масштабируемость приложений. Уязвимость в таком компоненте представляет повышенный риск, поскольку он часто находится на периметре сети и обрабатывает внешний трафик. Теоретически, компрометация этого элемента может открыть путь для более глубокого проникновения в корпоративную облачную среду.
На текущий момент данные о наличии публичного эксплойта (программы для эксплуатации уязвимости) уточняются. Однако высокая степень опасности и простота эксплуатации (низкая сложность атаки) создают критическое окно для потенциальных атак. Обычно такие уязвимости быстро привлекают внимание групп, занимающихся разработкой вредоносного ПО (malware), включая создателей программ-вымогателей (ransomware). Поэтому промедление с обновлением может быть крайне рискованным.
В качестве меры предосторожности, специалистам по кибербезопасности и администраторам облачных систем рекомендуется не только обновить шлюз, но и усилить мониторинг сетевой активности. Следует обратить внимание на любые подозрительные попытки нестандартных запросов к интерфейсам управления Application Gateway. Интеграция логов шлюза с системами SIEM (Security Information and Event Management) или SOC (Security Operations Center) поможет в оперативном обнаружении аномалий.
Таким образом, уязвимость CVE-2025-64657 в Azure Application Gateway служит серьезным напоминанием о важности строгого управления обновлениями в облачных средах. Даже управляемые сервисы от крупнейших вендоров требуют постоянного внимания к вопросам безопасности. Своевременное применение исправлений остается самой эффективной защитой от известных уязвимостей, особенно таких критических, как эта.
Ссылки
- https://bdu.fstec.ru/vul/2025-14768
- https://www.cve.org/CVERecord?id=CVE-2025-64657
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-64657
