Bug critico da score 10 per Azure Bastion. Quando RDP e SSH sul cloud sono in scacco matto

Redazione RHC : 21 Novembre 2025 17:12

Una vulnerabilità di tipo authentication bypass è stata individuata in Azure Bastion (scoperta da RHC grazie al monitoraggio costante delle CVE critiche presente sul nostro portale), il servizio gestito di Microsoft che consente connessioni RDP e SSH sicure verso macchine virtuali in Azure senza esporle direttamente a Internet.

La falla, identificata come CVE-2025-49752, permette potenzialmente a un attaccante remoto di ottenere privilegi amministrativi su tutte le VM accessibili tramite Bastion.

Dettagli tecnici

Il CVE-2025-49752 rientra nella categoria CWE-294 – Authentication Bypass by Capture-Replay, che consiste nell’intercettazione e riutilizzo di token o credenziali valide per ottenere accesso non autorizzato.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Nel caso di Azure Bastion, ciò potrebbe consentire l’escalation di privilegi a livello amministrativo, senza necessità di interazione da parte dell’utente.

La vulnerabilità è remotamente sfruttabile, non richiede privilegi preesistenti e ha un punteggio CVSS di 10.0, il massimo, poiché l’attacco può essere condotto esclusivamente via rete.

Ad oggi, non sono stati pubblicati dettagli sul codice sorgente né proof-of-concept, e non ci sono segnalazioni di sfruttamento attivo in ambiente reale.

Sistemi interessati

• Tutte le implementazioni di Azure Bastion precedenti all’aggiornamento di sicurezza rilasciato il 20 novembre 2025.
• Nessuna limitazione specifica per versione o SKU è stata indicata negli avvisi ufficiali.
• Tutte le configurazioni che utilizzano Bastion per RDP o SSH sono considerate potenzialmente vulnerabili.

Contesto storico della sicurezza Microsoft Azure

Nel 2025, Microsoft Azure ha già affrontato altre vulnerabilità critiche di escalation privilegi, tra cui:

• CVE-2025-54914 – Azure Networking, CVSS 10.0
• CVE-2025-29827 – Azure Automation, CVSS 9.9
• CVE-2025-55241 – Azure Entra ID, CVSS 9.0

Microsoft mantiene un ciclo mensile di aggiornamenti e ha avviato l’iniziativa Secure Future per rafforzare la sicurezza nello sviluppo dei servizi cloud. Nonostante questi sforzi, vulnerabilità di autenticazione e escalation di privilegi continuano a emergere in diversi servizi Azure.

Cos’è Azure Bastion

Azure Bastion è un servizio gestito da Microsoft che consente agli utenti di connettersi in modo sicuro a macchine virtuali (VM) su Azure tramite RDP (Remote Desktop Protocol) o SSH, senza esporre le VM direttamente a Internet. Grazie a questa soluzione, le aziende possono ridurre significativamente i rischi di attacchi esterni e proteggere le credenziali di accesso.

Azure Bastion agisce come ponte sicuro tra l’utente e la macchina virtuale. L’accesso avviene tramite il portale Azure, utilizzando una connessione crittografata. Questo elimina la necessità di aprire porte pubbliche sulle VM, riducendo il rischio di intrusioni.

Azure Bastion è ampiamente adottato da organizzazioni che necessitano di un accesso amministrativo sicuro alle VM, in contesti come: sviluppo software, ambienti di test, gestione di server cloud e supporto IT remoto.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli