خانه » CVE-2025-47989
هشدار‌های سایبری

CVE-2025-47989

Arc Enabled Servers - Azure Connected Machine Agent Elevation Of Privilege Vulnerability

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 260 بازدید
هشدار سایبری CVE-2025-47989
  • شناسه CVE-2025-47989 :CVE
  • CWE-284 :CWE
  • yes :Advisory
  • منتشر شده: اکتبر 14, 2025
  • به روز شده: نوامبر 4, 2025
  • امتیاز: 7.0
  • نوع حمله: Broken Access Control
  • اثر گذاری: Privilege Escalation
  • حوزه: سیستم‌های مجازی‌سازی و مدیریت ابری
  • برند: Microsoft
  • محصول: Arc Enabled Servers
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری کنترل دسترسی نادرست در Azure Connected Machine Agent نسخه‌های پیش از 1.57شناسایی شده است. این ضعف امنیتی به مهاجم دارای دسترسی استاندارد لوکال اجازه می‌دهد تا سطح دسترسی خود را به سطح سیستم (NT AUTHORITY\SYSTEM) افزایش دهد.

توضیحات

آسیب‌پذیری CVE-2025-47989 ناشی از کنترل دسترسی نادرست مطابق با CWE-284 در Azure Connected Machine Agent است. این ایجنت که برای اتصال سرورهای لوکال به Azure Arc استفاده می‌شود، به مهاجم با دسترسی کاربر استاندارد در سیستم لوکال اجازه می‌دهد تا سطح دسترسی خود را به سطح حساب سیستم (NT AUTHORITY\SYSTEM) افزایش دهد و کد دلخواه اجرا کند. در این آسیب‌پذیری، ارتقای دسترسی زمانی رخ می‌دهد که Azure Connected Machine Agent برخی کنترل‌های دسترسی داخلی خود را به‌درستی اعتبارسنجی نمی‌کند و یک کاربر استاندارد می‌تواند با دستکاری فایل‌های پیکربندی، تعامل با سرویس‌های عامل یا سوءاستفاده از توابع داخلی ایجنت، فرآیندهای سطح بالا را وادار به اجرای عملیات با اختیار System نماید. این ضعف در عمل مسیر غیرمستقیمی ایجاد می‌کند که طی آن یک ورودی یا تغییر ظاهراً کم‌اهمیت در تنظیمات، توسط سرویس‌ایجنت بدون بررسی کافی پذیرفته شده و به‌عنوان عملیات معتبر در سطح NT AUTHORITY\SYSTEM اجرا می‌شود؛ بنابراین مهاجم می‌تواند بدون داشتن نقش مدیریتی واقعی، کنترل کامل دستگاه را به دست بیاورد.

پیامدهای آسیب‌پذیری شامل تأثیر بالا بر محرمانگی، یکپارچگی و در دسترس‌پذیری است؛ زیرا مهاجم پس از افزایش دسترسی قادر خواهد بود کنترل کامل بر سیستم میزبان، دسترسی به منابع Azure Arc، اجرای دستورات دلخواه و تغییر پیکربندی‌های مدیریتی را به‌دست ‌آورد. این ضعف فقط سرورهایی را تحت تأثیر قرار می‌دهد که Azure Connected Machine Agent روی آن‌ها نصب و به Azure Arc متصل است. این آسیب‌پذیری با انتشار نسخه 1.57 اکتبر 2025 به‌طور کامل پچ شده است.

CVSS

 

Score Severity Version Vector String
7.0 HIGH 3.1 CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

لیست محصولات آسیب پذیر

Versions Product
affected from 1.0.0 before 1.57 Arc Enabled Servers – Azure Connected Machine Agent

لیست محصولات بروز شده

Versions Product
1.57 Arc Enabled Servers – Azure Connected Machine Agent

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Azure Connected Machine Agent را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
34 site:.ir “Azure Connected Machine Agent” Azure Connected Machine Agent

نتیجه گیری

این آسیب‌پذیری با شدت بالا در Azure Connected Machine Agent به کاربران استاندارد اجازه می‌دهد سطح دسترسی لوکال خود را به سطح سیستم افزایش دهند و کنترل کامل سرور و سوءاستفاده از اتصال به Azure Arc را ممکن سازند. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

  • به‌روزرسانی فوری: تمام نمونه‌های Azure Connected Machine Agent را به نسخه 1.57 یا بالاتر به‌روزرسانی کنید. به‌روزرسانی، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
  • اصل حداقل دسترسی: دسترسی کاربران لوکال به سرویس ایجنت را محدود کرده و از استفاده از حساب‌های استاندارد برای اجرای وظایف غیرضروری خودداری نمایید.
  • مانیتورینگ سرویس: لاگ‌های ایجنت را با ابزارهایی مانند Microsoft Sentinel یا ELK Stack مانیتور کنید و تغییرات مشکوک در عملکرد سرویس را شناسایی نمایید.
  • ایزوله‌سازی شبکه: سرورهای پشتیبانی شده توسط Azure Arc را در شبکه ایزوله قرار دهید و دسترسی غیرضروری به پورت‌های ایجنت (مانند 443 برای ارتباط با Azure) را با فایروال اپلیکیشن وب (WAF) یا گروه امنیت شبکه (NSG) محدود سازید.
  • تست امنیتی: محیط را با ابزارهای تحلیل دسترسی لوکال مانند PowerUp یا WinPEAS اسکن کنید تا آسیب پذیری های مشابه شناسایی شود.
  • مدیریت چرخه ایجنت: از قابلیت Auto-Upgrade در Azure Arc برای به‌روزرسانی خودکار ایجنت استفاده کرده و نسخه‌های قدیمی را به‌صورت دوره‌ای حذف نمایید.
  • آموزش مدیران: تیم‌های امنیت را درباره ریسک‌های ایجنت های لوکال (On-Premise Agents) و ضرورت به‌روزرسانی منظم آموزش دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و محدودسازی دسترسی‌های لوکال، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت اتصال سرورهای لوکال به Azure Arc را به‌صورت قابل‌توجهی تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
در این سناریو ورودی اولیه از بیرون سازمان اتفاق نمی‌افتد؛ مهاجم از دسترسی لوکال کاربر استاندارد که قبلاً به‌دست آورده (از هر بردار دیگر) استفاده می‌کند تا وارد مسیر سوءاستفاده شود. نقطه ورود عملی همین حساب لوکال است که اجازه تعامل با فایل‌های پیکربندی یا سرویس‌های ایجنت را می‌دهد.

Privilege Escalation (TA0004)
مهاجم با داشتن یک حساب معمولی و اعمال تغییرات هدفمند در ساختار فایل‌ها یا رفتار سرویس، فرآیندهای سطح بالا را مجبور به اجرای عملیات در سطح System می‌کند. این نقض کامل کنترل دسترسی داخلی ایجنت است و نتیجه آن ارتقای دسترسی قطعی و باثبات است.

Defense Evasion (TA0005)
چون تغییرات مهاجم در قالب فایل‌های پیکربندی، تعامل سرویس یا رفتار داخلی ایجنت اعمال می‌شود، این فعالیت‌ها معمولاً در لاگ‌های امنیتی به‌عنوان «فعالیت عادی سرویس» دیده می‌شوند و می‌توانند از دید مانیتورینگ ضعیف عبور کنند. عدم وجود اعتبارسنجی دقیق ورودی، مسیر پنهان‌سازی را تقویت می‌کند.

Credential Access (TA0006)
پس از ارتقای دسترسی به System، مهاجم می‌تواند به فایل‌های امن، توکن‌های ذخیره‌شده و اعتبارنامه سرویس‌ها دسترسی پیدا کند؛ به‌ویژه مواردی که برای اتصال Azure Arc استفاده می‌شود. این دسترسی می‌تواند برای حملات بعدی یا نفوذ به زیرساخت ابری استفاده شود.

Discovery (TA0007)
دسترسی System امکان شناسایی کامل سرویس‌های ویندوز، ساختار فایل‌ها، توکن‌های ابری، مسیرهای ایجنت و وضعیت اتصال Arc را فراهم می‌کند. مهاجم می‌تواند نقشه دقیقی از محیط به دست آورد تا حمله را گسترش دهد.

Collection (TA0009)
ایجنت پس از ارتقای دسترسی امکان جمع‌آوری تنظیمات، پیکربندی‌ها، فایل‌های حساس و توکن‌های ارتباطی را فراهم می‌کند. داده‌های مدیریتی Azure Arc، لاگ‌های عملیاتی و کلیدهای سرویس از اهداف اصلی هستند.

Exfiltration (TA0010)
از آنجا که ماشین به‌طور مستقیم با Azure از طریق پورت 443 ارتباط دارد، مهاجم می‌تواند داده‌های استخراج‌شده را از همان کانال‌های خروجی ایجنت یا هر مسیر شبکه‌ای دیگر خارج کند. ترافیک معمولاً قانونی به‌نظر می‌رسد و به‌سادگی شناسایی نمی‌شود.

Impact (TA0040)
پس از گرفتن سطح System، مهاجم کنترل کامل سرور را در اختیار دارد: تغییر پیکربندی‌ها، دسترسی به داده‌های حساس، خرابکاری در ایجنت و حتی انتشار حمله به سایر منابع Arc امکان‌پذیر است. محرمانگی، یکپارچگی و دسترس‌پذیری به‌طور هم‌زمان تحت تأثیر قرار می‌گیرد و سیستم عملاً در اختیار مهاجم قرار می‌گیرد.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-47989
  2. https://www.cvedetails.com/cve/CVE-2025-47989/
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47989
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-47989
  5. https://vuldb.com/?id.328322
  6. https://cwe.mitre.org/data/definitions/284.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.