CVE-2025-59503

چکیده

آسیب‌پذیری بحرانی جعل درخواست سمت سرور (SSRF) در Azure Compute Gallery (بخشی از Azure Compute Resource Provider) شناسایی شده است. این ضعف امنیتی به یک مهاجم غیرمجاز اجازه می‌دهد از راه دور و بدون نیاز به احراز هویت، سطح دسترسی خود را در محیط ابری Azure افزایش دهد.

توضیحات

آسیب‌پذیری CVE-2025-59503 ناشی از جعل درخواست سمت سرور (SSRF) مطابق با CWE-918 در Azure Compute Gallery است. این سرویس، بخشی از Azure Compute Resource Provider است و برای مدیریت و اشتراک‌گذاری تصاویر ماشین مجازی (VM Images) و گالری‌های محاسباتی سازمانی استفاده می‌شود.

این ضعف به مهاجم غیرمجاز اجازه می‌دهد با ارسال درخواست‌های دستکاری‌شده، سرویس ابری را وادار کند تا درخواست‌های داخلی یا خارجی دلخواه را از سمت سرور اجرا نماید. نتیجه این اقدام می‌تواند شامل دسترسی به متادیتا سرویس، منابع داخلی شبکه مجازی یا حتی سرویس‌های دیگر Azure و در نهایت افزایش سطح دسترسی مهاجم باشد.

حمله کاملاً از راه دور و بدون نیاز به احراز هویت، دسترسی اولیه یا تعامل کاربر انجام می‌شود و دامنه تأثیر (Scope) تغییر یافته است. پیامدهای این آسیب‌پذیری شامل تأثیر بسیار بالا بر محرمانگی، یکپارچگی و دسترس‌پذیری است؛ مهاجم می‌تواند داده‌های حساس را افشا کند، منابع را دستکاری نماید یا سرویس را مختل کند.

برای بهره‌برداری، مهاجم می‌تواند با ابزارهای ساده یا اسکریپت‌های خودکار، URLهای مخرب را در درخواست‌های مربوط به Compute Gallery تزریق کند تا سرویس را فریب دهد. مایکروسافت این آسیب‌پذیری را به‌طور کامل در سمت سرویس ابری (Cloud Service) پچ کرده است و هیچ اقدامی از سمت کاربران لازم نیست. این اقدام بخشی از سیاست شفافیت بیشتر در انتشار CVE برای سرویس‌های ابری است تا سازمان‌ها از ریسک‌های احتمالی آگاه شوند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Azure Compute Gallery را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بحرانی در Azure Compute Gallery، از طریق جعل درخواست سمت سرور (SSRF) و به‌صورت کاملاً از راه دور، امکان افزایش سطح دسترسی در محیط ابری را فراهم می‌کند و در نهایت می‌تواند منجر به کنترل کامل منابع Azure شود. مایکروسافت این ضعف را به‌طور کامل در سمت سرویس پچ کرده است و هیچ اقدامی از سمت مشتریان لازم نیست اما برای کاهش ریسک‌های مشابه در محیط‌های ابری Azure، اجرای اقدامات زیر توصیه می‌شود:

• مانیتورینگ دقیق فعالیت‌ها: با استفاده از Azure Monitor، سامانه مدیریت رویداد و اطلاعات امنیتی (Azure Sentinel / Microsoft Defender for Cloud) و لاگ‌ فعالیت ها (Activity Logs)، درخواست‌های غیرعادی به Compute Gallery و سایر سرویس‌های داخلی را به‌طور مستمر نظارت کنید.
• اصل حداقل دسترسی: از سیاست های کنترل دسترسی مبتنی بر نقش (RBAC) و هویت‌های مدیریت شده (Managed Identities) برای محدود کردن دسترسی به Compute Gallery استفاده کنید و دسترسی Contributor یا Owner را تنها به کاربران ضروری اعطا نمایید.
• اعمال قوانین سختگیرانه شبکه: اندپوینت سرویس شبکه مجازی (Virtual Network Service Endpoints) و لینک خصوصی (Private Link) را برای Compute Gallery فعال کنید تا دسترسی عمومی محدود شود و ترافیک تنها از شبکه‌های مجاز عبور کند.
• محافظت از متادیتا: سرویس متادیتای نمونه (IMDS) را به نسخه دوم (v2) و همراه با الزام احراز هویت پیکربندی کنید تا از دسترسی غیرمجاز به توکن‌ها و اطلاعات حساس جلوگیری شود.
• بررسی منظم پیکربندی: از Azure Policy و Azure Security Center برای ارزیابی مداوم پیکربندی منابع Compute و شناسایی تنظیمات ناامن بهره ببرید.
• آموزش تیم‌های DevOps : تیم های توسعه و عملیات را در مورد ریسک‌های SSRF در سرویس‌های ابری و ضرورت اعتبارسنجی ورودی‌های مبتنی بر URL آموزش دهید.

اجرای این اقدامات، در کنار پچ‌های اعمال‌شده توسط مایکروسافت، امنیت زیرساخت‌های ابری Azure را به‌طور قابل‌توجهی افزایش داده و احتمال سوءاستفاده از آسیب‌پذیری‌های مشابه در آینده را به حداقل می‌رساند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

این آسیب‌پذیری امکان دسترسی اولیه را از طریق ارسال درخواست‌های crafted به Azure Compute Gallery فراهم می‌کند، بدون نیاز به احراز هویت یا تعامل کاربر. مهاجم از ضعف اعتبارسنجی URL در سرویس ابری سوءاستفاده کرده و نقطه ورود خود را مستقیماً در Control Plane Azure ایجاد می‌کند.

Privilege Escalation (TA0004)

هدف اصلی حمله، افزایش سطح دسترسی در محیط Azure است؛ مهاجم با دسترسی به متادیتا یا سرویس‌های داخلی می‌تواند به توکن‌ها یا قابلیت‌هایی فراتر از سطح مجاز دست یابد.

Credential Access (TA0006)

از طریق SSRF، امکان دسترسی غیرمستقیم به متادیتای سرویس و توکن‌های دسترسی Managed Identity Tokens در سناریو خاص وجود دارد که می‌تواند به سوءاستفاده هویتی منجر شود.

Discovery (TA0007)

مهاجم می‌تواند با استفاده از SSRF، اطلاعاتی درباره سرویس‌های داخلی Azure، endpointها و ساختار منابع Compute را شناسایی کند. این مرحله برای حرکت بعدی در Control Plane حیاتی است.

Lateral Movement (TA0008)

در صورت موفقیت، مهاجم قادر است از Compute Gallery به سایر سرویس‌های Azure یا منابع Compute مرتبط حرکت جانبی انجام دهد.

Collection (TA0009)

اطلاعات حساس شامل متادیتا، پیکربندی منابع، ایمیج‌های VM و تنظیمات Compute می‌تواند از طریق درخواست‌های SSRF جمع‌آوری شود.

Exfiltration (TA0010)

داده‌های جمع‌آوری‌شده از همان کانال مشروع پاسخ سرویس‌های Azure بازگردانده می‌شوند و نیازی به کانال خروجی مجزا نیست. این موضوع تشخیص نشت را دشوار می‌کند.

Defense Evasion (TA0005)

ماهِیت SSRF باعث می‌شود درخواست‌ها به‌عنوان ترافیک داخلی و مشروع Azure دیده شوند و بسیاری از کنترل‌های سنتی شبکه دور زده شوند.

Impact (TA0040)

پیامد نهایی می‌تواند کنترل کامل یا جزئی منابع Compute در Azure، افشای داده‌ها، دستکاری تنظیمات و حتی اختلال در سرویس باشد. تأثیر بر محرمانگی، یکپارچگی و دسترس‌پذیری بسیار بالا است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-59503
2. https://www.cvedetails.com/cve/CVE-2025-59503/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59503
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-59503
5. https://vuldb.com/?id.329722
6. https://nvd.nist.gov/vuln/detail/CVE-2025-59503
7. https://cwe.mitre.org/data/definitions/918.html