Một lỗ hổng CVE nghiêm trọng (CVE-2025-49752) đã được phát hiện trong Azure Bastion, cho phép những kẻ tấn công từ xa vượt qua các cơ chế xác thực và leo thang đặc quyền lên cấp độ quản trị. Lỗ hổng này, được phân loại là authentication bypass, đặt ra rủi ro ngay lập tức cho các tổ chức đang phụ thuộc vào Azure Bastion để có được quyền truy cập quản trị an toàn vào hạ tầng đám mây của họ.

Azure Bastion vốn được thiết kế để cung cấp một phương pháp kết nối bảo mật và an toàn tới các máy ảo (VM) trong môi trường mạng ảo Azure, loại bỏ nhu cầu sử dụng các địa chỉ IP công cộng cho các VM. Mô hình bảo mật này giúp giảm thiểu đáng kể bề mặt tấn công và bảo vệ các tài nguyên quan trọng. Tuy nhiên, lỗ hổng CVE nghiêm trọng này làm suy yếu hoàn toàn mô hình đó. Kẻ tấn công có thể giành quyền truy cập quản trị thông qua một yêu cầu mạng duy nhất, điều này tiềm ẩn nguy cơ xâm phạm tất cả các máy ảo có thể truy cập được thông qua Bastion host.

Phân Tích Kỹ Thuật về CVE-2025-49752

Theo phân tích từ Zeropath, lỗ hổng CVE nghiêm trọng này bắt nguồn từ việc xử lý không chính xác các token xác thực trong dịch vụ Bastion. Lợi dụng điểm yếu này, kẻ tấn công có thể chặn và phát lại các thông tin xác thực hợp lệ nhằm vượt qua các biện pháp kiểm soát bảo mật và chiếm quyền điều khiển quản trị. Khả năng này biến dịch vụ Bastion, vốn được coi là một cổng bảo mật đáng tin cậy, thành một điểm yếu tiềm tàng, đe dọa toàn bộ hạ tầng đám mây mà nó bảo vệ.

Điểm CVSS và Mức Độ Nghiêm Trọng Của Lỗ Hổng

Với điểm CVSS 10.0, lỗ hổng CVE nghiêm trọng này được xếp vào mức độ nghiêm trọng cao nhất. Điểm số tuyệt đối này cho thấy khả năng khai thác từ xa (remotely exploitable), không yêu cầu tương tác người dùng, và không cần xác thực trước để thực hiện tấn công thành công. Mức độ nghiêm trọng tối đa này cảnh báo về rủi ro cực kỳ cao mà lỗ hổng mang lại.

Một khía cạnh then chốt của CVE-2025-49752 là khả năng khai thác dựa trên mạng. Điều này có nghĩa là không cần truy cập vật lý, không yêu cầu đặc quyền đặc biệt, và không cần sự tham gia của người dùng để quá trình khai thác diễn ra thành công. Bất kỳ kẻ tấn công nào trên mạng cũng có thể xâm phạm toàn bộ hạ tầng Bastion và các máy ảo được kết nối, biến đây thành một mối đe dọa trực tiếp và lan rộng đối với an ninh mạng của tổ chức.

Phạm Vi Ảnh Hưởng và Các Phiên Bản Bị Tổn Thương

Tất cả các triển khai Azure Bastion được đưa vào hoạt động trước ngày phát hành bản cập nhật bảo mật 20 tháng 11 năm 2025 đều có nguy cơ bị ảnh hưởng bởi lỗ hổng CVE nghiêm trọng này. Microsoft không công bố các số phiên bản cụ thể, điều này gợi ý rằng lỗ hổng ảnh hưởng đến mọi cấu hình sử dụng dịch vụ này trước ngày vá lỗi được công bố. Điều này nhấn mạnh sự cần thiết của việc rà soát và cập nhật bản vá một cách kịp thời và trên diện rộng.

Khả năng chiếm quyền điều khiển quản trị thông qua lỗ hổng này có thể dẫn đến nhiều hậu quả nghiêm trọng. Các hậu quả tiềm tàng bao gồm rò rỉ dữ liệu nhạy cảm, cài đặt mã độc, hoặc thực hiện các cuộc tấn công phá hoại nhằm vào hạ tầng. Việc bỏ qua việc khắc phục lỗ hổng này có thể khiến toàn bộ hệ thống đám mây của tổ chức gặp phải rủi ro an toàn thông tin đáng kể.

Khuyến Nghị và Biện Pháp Khắc Phục Khẩn Cấp

Zeropath khuyến cáo các tổ chức cần thực hiện ngay lập tức việc kiểm tra các thiết lập Azure Bastion hiện có và đảm bảo rằng tất cả các bản vá bảo mật đã được cài đặt đầy đủ. Việc ưu tiên vá lỗ hổng CVE nghiêm trọng này là hành động khẩn cấp nhất để bảo vệ hạ tầng của bạn. Quá trình vá lỗi cần được tiến hành ngay lập tức để giảm thiểu tối đa nguy cơ bị khai thác.

• Cập nhật bản vá bảo mật: Đảm bảo tất cả các triển khai Azure Bastion đã được cập nhật bản vá bảo mật do Microsoft phát hành vào hoặc sau ngày 20 tháng 11 năm 2025. Đây là bước quan trọng hàng đầu để khắc phục lỗ hổng này.
• Kiểm tra nhật ký truy cập: Tiến hành kiểm toán toàn diện nhật ký truy cập quản trị để phát hiện bất kỳ hoạt động trái phép hoặc đáng ngờ nào. Việc này giúp xác định xem lỗ hổng đã bị khai thác hay chưa và mức độ ảnh hưởng tiềm ẩn.
• Rà soát phân đoạn mạng và kiểm soát truy cập: Các tổ chức nên xem xét lại kỹ lưỡng phân đoạn mạng và các biện pháp kiểm soát truy cập đang được áp dụng xung quanh các triển khai Azure Bastion của mình. Việc tăng cường các lớp bảo vệ có thể giúp hạn chế tác động của các lỗ hổng tương tự trong tương lai và củng cố an ninh mạng tổng thể.

Để biết thêm thông tin chi tiết về phân tích kỹ thuật của lỗ hổng này, bạn có thể tham khảo báo cáo chuyên sâu từ Zeropath tại Zeropath Blog.

Bối Cảnh Các Lỗ Hổng Bảo Mật Liên Tục Trong Azure

Lỗ hổng CVE nghiêm trọng này tiếp tục nối dài danh sách các lỗi xác thực và leo thang đặc quyền nghiêm trọng được phát hiện trong các dịch vụ Azure trong suốt năm 2025. Các lỗ hổng đáng chú ý khác trong năm bao gồm CVE-2025-54914 và CVE-2025-29827. Mặc dù Microsoft đã khởi động Sáng kiến Tương lai An toàn (Secure Future Initiative) nhằm cải thiện các quy trình phát triển bảo mật, các vấn đề xác thực lặp đi lặp lại vẫn tiếp tục ảnh hưởng đến hạ tầng Azure.

Thực trạng này đặt ra một thách thức liên tục cho các nhóm an ninh mạng và đòi hỏi một cách tiếp cận chủ động trong việc giám sát và ứng phó với các mối đe dọa. Việc thường xuyên cập nhật bản vá và tuân thủ các thực hành bảo mật tốt nhất là điều cần thiết để duy trì an toàn thông tin và bảo mật mạng trong môi trường đám mây phức tạp hiện nay.