CVE-2025-58724

چکیده

آسیب‌پذیری کنترل دسترسی نامناسب در Azure Connected Machine Agent (ایجنت اتصال ماشین‌های Azure Arc) شناسایی شده است. مهاجم لوکال و احراز هویت‌شده با بهره برداری از این ضعف می‌تواند سطح دسترسی خود را به SYSTEM افزایش دهد.

توضیحات

آسیب‌پذیری CVE-2025-58724 در Azure Connected Machine Agent ناشی از کنترل دسترسی نامناسب مطابق با CWE-284 است. این ضعف به مهاجم لوکال با دسترسی پایین اجازه می‌دهد تا با بهره‌برداری از تنظیمات نادرست مجوزها در ایجنت، سطح دسترسی خود را به SYSTEM (سطح دسترسی کامل سیستم) افزایش دهد. مهاجم می‌تواند با دستکاری فایل‌ها یا فرآیندهای ایجنت (مانند دسترسی به توکن‌های احراز هویت Azure)، عملیات مخرب مانند اجرای کد یا تغییر تنظیمات را انجام دهد. به عبارت دیگر، بعضی فایل‌ها، سرویس‌ها یا توکن‌های Azure Connected Machine Agent به‌جای اینکه فقط در اختیار سیستم یا ادمین باشند، برای کاربرهای معمولی هم قابل‌دستکاری‌ هستند.

این حمله لوکال است و از طریق APIهای Azure Arc (سرویسی برای مدیریت سرورهای هیبریدی با اتصال به Azure) انجام می‌شود؛ مهاجم نیاز به دسترسی فیزیکی یا حساب کاربری معتبر در ماشین هدف دارد، اما قادر است بدون تعامل اضافی با کاربر حمله را انجام دهد.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌ها یا ابزارهای لوکال، از راه دور (در محیط‌های RDP یا حساب‌های اشتراکی) و بدون تعامل کاربر و تنها با داشتن یک حساب با دسترسی پایین، مجوزهای ایجنت را دور بزند و دسترسی SYSTEM را به‌دست آورد.

پیامدهای آسیب‌پذیری شامل تأثیر بالا بر محرمانگی با افشای داده‌های Azure، یکپارچگی با تغییر تنظیمات اتصال و در دسترس‌پذیری با ایجاد اختلال در ایجنت است. این ضعف عمدتاً در محیط‌های هیبریدی Azure Arc فعال می‌شود. مایکروسافت در اکتبر 2025 پچ را در نسخه 1.57 منتشر کرده است که کنترل های دسترسی را اصلاح می‌کند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Azure Connected Machine Agent را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در Azure Connected Machine Agent، امکان افزایش سطح دسترسی لوکال در سرورهای Azure Arc را فراهم می کند و می‌تواند منجر به دسترسی کامل به SYSTEM شود. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: Azure Connected Machine Agent را به نسخه 1.57 یا بالاتر به‌روزرسانی کنید. به‌روزرسانی، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند
• تقویت کنترل دسترسی: مجوزهای ایجنت را به حداقل دسترسی (Least Privilege) محدود کنید و از کنترل دسترسی مبتنی بر نقش (RBAC) در Azure برای مدیریت اتصالات استفاده نمایید.
• نظارت بر فرآیندهای ایجنت: لاگ‌های Azure Connected Machine Agent را با ابزارهایی مانند Azure Monitor یا Event Viewer مانیتور کنید و برای تلاش‌های دسترسی مشکوک هشدار تنظیم کنید.
• استفاده از ابزارهای امنیتی: از راهکارهای شناسایی و پاسخ به تهدیدات اندپوینت (EDR) مانند Microsoft Defender for Cloud برای تشخیص افزایش سطح دسترسی مشکوک استفاده کنید و Just-In-Time (JIT) Access را برای ایجنت فعال نمایید.
• ایزوله‌سازی: ماشین‌های Azure Arc را در شبکه‌های ایزوله (مانند VNet) قرار دهید و دسترسی لوکال به ایجنت را با فایروال محدود سازید.
• آموزش ادمین‌ها: تیم‌های Azure را درباره ریسک کنترل دسترسی نامناسب در ایجنت ها و ضرورت به‌روزرسانی‌های امنیتی آموزش دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و نظارت بر لاگ‌ها، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت اتصالات هیبریدی در Azure Arc را به‌صورت قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
آسیب‌پذیری مستلزم دسترسی لوکال احراز‌شده است: مهاجم با داشتن یک حساب کاربری عادی روی ماشین هدف یا نشست RDP/ حساب اشتراکی می‌تواند به فرآیندها یا فایل‌های ایجنت دسترسی پیدا کند و ورودی‌هایی ارسال کند که مسیر بهره‌برداری را فعال می‌سازد.

Execution (TA0002)
بهره‌برداری معمولاً از طریق فراخوانی APIها یا تعامل با فرآیند ایجنت انجام می‌شود که به مهاجم اجازه می‌دهد کد یا دستورات را با مجوزهای بالاتر اجرا کند—در عمل مهاجم با نوشتن فایل یا تغییر پارامترهای ایجنت می‌تواند مسیر اجرای باینری/کامند را تغییر دهد و کنترل جریان را به‌دست آورد.

Privilege Escalation (TA0004)
پیکربندی نادرست ACLها و دسترسی‌های ناامن به فایل‌ها/فرآیندهای ایجنت اجازه می‌دهد مهاجم محلی از سطح پایین امتیاز به SYSTEM ارتقا یابد و در نتیجه توانایی نصب سرویس، تغییر پیکربندی‌ها یا اجرای payloadهای با سطح بالا را پیدا کند.

Credential Access (TA0006)
این ضعف می‌تواند منجر به دسترسی به توکن‌ها یا اسرار ایجنت شود—مهاجم با خواندن فایل‌ها یا حافظه مربوط به ایجنت ممکن است توکن‌های Azure یا کلیدهای احراز هویت را بدزد و آن‌ها را برای دسترسی به منابع ابری یا impersonation استفاده کند.

Defense Evasion (TA0005)
مهاجم می‌تواند تغییرات را طوری انجام دهد که رفتار ایجنت طبیعی به‌نظر برسد، یا لاگ‌ها را محلی پاک کند و توکن‌های به‌دست‌آمده را برای عملیات‌های بعدی استفاده کند تا تشخیص سخت شود.

Lateral Movement (TA0008)
پس از ارتقاء امتیاز، مهاجم می‌تواند از ایجنت برای حرکت جانبی در شبکه استفاده کند—مثلاً با سوء‌استفاده از توکن‌های بدست‌آمده برای فراخوانی APIهای Azure، یا نصب سرویس‌هایی که اعتبار را منتقل می‌کنند.

Impact (TA0040)
پیامد فنی مستقیمِ موفقیت بهره‌برداری دسترسی SYSTEM است که می‌تواند منجر به افشای داده‌های Azure، تغییر تنظیمات اتصال، استقرار persistence و اختلال در عملیات ایجنت شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-58724
2. https://www.cvedetails.com/cve/CVE-2025-58724/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-58724
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-58724
5. https://vuldb.com/?id.328388
6. https://nvd.nist.gov/vuln/detail/CVE-2025-58724
7. https://cwe.mitre.org/data/definitions/284.html