В Банке данных угроз (BDU) была зарегистрирована новая критическая уязвимость в службе Azure Bastion Developer от Microsoft. Идентифицированная как BDU:2025-15486 и CVE-2025-49752, эта проблема связана с полным обходом процедуры аутентификации. Эксплуатация уязвимости потенциально позволяет удалённому злоумышленнику (актору угроз) получить полный контроль над целевой системой без необходимости ввода каких-либо учётных данных. Уязвимость была подтверждена производителем 20 ноября 2025 года, и на текущий момент уже выпущено исправление.
Детали уязвимости
С технической точки зрения, данная уязвимость классифицируется как "Обход аутентификации посредством захвата/повтора" (CWE-294). Проще говоря, злоумышленник может перехватить или повторно использовать данные сетевого сеанса для получения несанкционированного доступа. Уязвимый компонент - Azure Bastion Developer, который представляет собой упрощённую версию полностью управляемой службы Azure Bastion. Эта служба обеспечивает безопасный и бесшовный доступ по протоколу RDP и SSH к виртуальным машинам непосредственно через портал Azure, без необходимости использования общедоступных IP-адресов.
Оценка критичности данной уязвимости вызывает серьёзную озабоченность у специалистов по безопасности. Согласно методологии CVSS (Common Vulnerability Scoring System), базовый балл для версии 3.1 достигает максимального значения - 10.0, что соответствует критическому уровню опасности. Вектор атаки определен как сетевой (AV:N), для эксплуатации не требуются никакие привилегии (PR:N) или взаимодействие с пользователем (UI:N). Более того, уязвимость затрагивает другие компоненты безопасности (S:C), а её последствия включают полную компрометацию конфиденциальности (C:H) и целостности (I:H) данных, а также негативное влияние на доступность системы (A:L). Высокая оценка по CVSS 2.0 - 9.7 - лишь подтверждает серьёзность угрозы.
Эксплуатация такой уязвимости открывает широкие возможности для злонамеренных действий. В частности, атакующий, действуя удалённо, может повысить свои привилегии в системе до максимального уровня. На практике это означает возможность выполнять произвольный код, устанавливать вредоносное программное обеспечение, красть конфиденциальную информацию или разворачивать программы-вымогатели (ransomware). Учитывая, что Bastion часто является ключевым элементом инфраструктуры для доступа к критически важным виртуальным машинам, успешная атака может привести к полному контролю над облачным окружением заказчика.
К счастью, Microsoft оперативно отреагировала на обнаруженную проблему. Уязвимость имеет статус "устранена", а единственным рекомендуемым способом защиты является незамедлительное обновление программного обеспечения. Производитель опубликовал все необходимые патчи и рекомендации в своём Центре обновления безопасности (Security Update Guide). Соответственно, администраторам и специалистам по безопасности, использующим Azure Bastion Developer, необходимо как можно скорее обратиться к официальному бюллетеню по адресу https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49752 и применить все доступные исправления.
В настоящее время информация о наличии публичных эксплойтов, предназначенных для эксплуатации CVE-2025-49752, уточняется. Однако история подобных критических уязвимостей показывает, что промежуток времени между публикацией деталей уязвимости и появлением работающих скриптов в открытом доступе может быть крайне коротким. Следовательно, задержка с установкой обновлений создаёт значительный риск для безопасности. Активное сканирование интернета на предмет уязвимых систем со стороны различных акторов угроз, включая группы APT (Advanced Persistent Threat), является стандартной практикой.
Таким образом, данная уязвимость служит важным напоминанием об основах кибергигиены в облачных средах. Даже в полностью управляемых сервисах, таких как Azure Bastion, могут обнаруживаться критические изъяны. Регулярный мониторинг источников об уязвимостях, например, через BDU или базу данных CVE (Common Vulnerabilities and Exposures), и оперативное применение патчей остаются наиболее эффективными мерами защиты. Кроме того, организациям следует придерживаться принципа минимальных привилегий и внедрять многофакторную аутентификацию везде, где это возможно, чтобы снизить потенциальный ущерб от возможных инцидентов, связанных с обходом аутентификации.
Ссылки
- https://bdu.fstec.ru/vul/2025-15486
- https://www.cve.org/CVERecord?id=CVE-2025-49752
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49752
