Microsoft Azure’un Bastion hizmetinde ortaya çıkan kritik güvenlik açığı sanal makine erişimini etkileyen ciddi bir risk oluşturdu. CVE-2025-49752 koduyla kayıt altına alınan açık tüm dağıtımlarda 20 kasım 2025 tarihine kadar etkili oldu. Microsoft 21 kasım tarihinde hizmeti güncelledi. Şirket bu süreçte bilinen herhangi bir kötüye kullanım olmadığını açıkladı.

Azure Bastion Yapısındaki Güvenlik Açığının Tanımlanması Sorunu Gündeme Taşıdı

Azure Bastion hizmeti kurumsal ortamlarda sanal makinelere tarayıcı üzerinden erişim sağlamak için kullanılıyor. Sistem özel IP adresleri üzerinden bağlantı kurduğu için saldırı yüzeyi daraltılıyor. Bu yapı güçlü bir koruma sağlasa da ortaya çıkan açık süreci tersine çevirdi. Güvenlik uzmanı Steven Lim’in paylaştığı bilgilere göre CVE-2025-49752 kimlik doğrulama adımlarını devre dışı bırakan kritik bir yetki yükseltme açığı içeriyor. Bu açık tek bir ağ isteğiyle yönetici ayrıcalıklarının ele geçirilmesine kapı araladı.

Güvenlik raporlarında saldırganların kimlik doğrulama belirteçlerini ele geçirip tekrar kullanabildiği ifade edildi. Bu yöntem saldırganlara doğrudan yönetici hakları sağlıyor. Azure Bastion üzerinden erişilebilen tüm sanal makinelerin bu hatadan etkilenme ihtimali riskin boyutunu artırdı. ZeroPath tarafından paylaşılan bilgilerde açığın dışarıdan herhangi bir etkileşim gerektirmeden çalışabildiği belirtildi. Bu durum CVSS 10.0 puanının neden verildiğini açıklıyor.

Saldırının kullanıcı etkileşimi olmadan ağ üzerinden tetiklenebilmesi güvenlik uzmanlarını harekete geçirdi. Saldırganlar özel bir istek göndererek kimlik doğrulama katmanını aşabildi. Bu davranış doğrulanmış bir kullanıcı olmadan yönetici yetkilerinin elde edilmesine neden oldu. Bu tip açıklar bulut altyapılarını kullanan kurumlar için büyük risk taşıyor. Microsoft tüm dağıtımların 21 kasım itibarıyla güncellendiğini belirtti.

Microsoft tarafından yapılan değerlendirmede açığın yaygın şekilde istismar edildiğine dair bulgu olmadığı ifade edildi. Şirket yamayı otomatik olarak dağıttığı için ek işlem gerekmiyor. Kullanıcılar yönetim paneli üzerinden hizmet durumunu kontrol ederek güvenlik güncellemesinin uygulandığını teyit edebiliyor. Güvenlik çevreleri açıklamayı olumlu bir adım olarak değerlendiriyor.