Bug critico da score 10 per Azure Bastion. Quando RDP e SSH sul cloud sono in scacco matto

Una vulnerabilità di tipo authentication bypass è stata individuata in Azure Bastion (scoperta da RHC grazie al monitoraggio costante delle CVE critiche presente sul nostro portale), il servizio gestito di Microsoft che consente connessioni RDP e SSH sicure verso macchine virtuali in Azure senza esporle direttamente a Internet.

La falla, identificata come CVE-2025-49752, permette potenzialmente a un attaccante remoto di ottenere privilegi amministrativi su tutte le VM accessibili tramite Bastion.

Dettagli tecnici

Il CVE-2025-49752 rientra nella categoria CWE-294 – Authentication Bypass by Capture-Replay, che consiste nell’intercettazione e riutilizzo di token o credenziali valide per ottenere accesso non autorizzato.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Nel caso di Azure Bastion, ciò potrebbe consentire l’escalation di privilegi a livello amministrativo, senza necessità di interazione da parte dell’utente.

La vulnerabilità è remotamente sfruttabile, non richiede privilegi preesistenti e ha un punteggio CVSS di 10.0, il massimo, poiché l’attacco può essere condotto esclusivamente via rete.

Ad oggi, non sono stati pubblicati dettagli sul codice sorgente né proof-of-concept, e non ci sono segnalazioni di sfruttamento attivo in ambiente reale.

Sistemi interessati

• Tutte le implementazioni di Azure Bastion precedenti all’aggiornamento di sicurezza rilasciato il 20 novembre 2025.
• Nessuna limitazione specifica per versione o SKU è stata indicata negli avvisi ufficiali.
• Tutte le configurazioni che utilizzano Bastion per RDP o SSH sono considerate potenzialmente vulnerabili.

Contesto storico della sicurezza Microsoft Azure

Nel 2025, Microsoft Azure ha già affrontato altre vulnerabilità critiche di escalation privilegi, tra cui:

• CVE-2025-54914 – Azure Networking, CVSS 10.0
• CVE-2025-29827 – Azure Automation, CVSS 9.9
• CVE-2025-55241 – Azure Entra ID, CVSS 9.0

Microsoft mantiene un ciclo mensile di aggiornamenti e ha avviato l’iniziativa Secure Future per rafforzare la sicurezza nello sviluppo dei servizi cloud. Nonostante questi sforzi, vulnerabilità di autenticazione e escalation di privilegi continuano a emergere in diversi servizi Azure.

Cos’è Azure Bastion

Azure Bastion è un servizio gestito da Microsoft che consente agli utenti di connettersi in modo sicuro a macchine virtuali (VM) su Azure tramite RDP (Remote Desktop Protocol) o SSH, senza esporre le VM direttamente a Internet. Grazie a questa soluzione, le aziende possono ridurre significativamente i rischi di attacchi esterni e proteggere le credenziali di accesso.

Azure Bastion agisce come ponte sicuro tra l’utente e la macchina virtuale. L’accesso avviene tramite il portale Azure, utilizzando una connessione crittografata. Questo elimina la necessità di aprire porte pubbliche sulle VM, riducendo il rischio di intrusioni.

Azure Bastion è ampiamente adottato da organizzazioni che necessitano di un accesso amministrativo sicuro alle VM, in contesti come: sviluppo software, ambienti di test, gestione di server cloud e supporto IT remoto.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.