はじめに: MicrosoftがASP.NET Coreの重大な脆弱性を警告

Microsoftは、ASP.NET Coreに存在する深刻な脆弱性に対処するための緊急セキュリティアップデートをリリースしました。この脆弱性は、攻撃者がHTTPリクエスト密輸攻撃を実行することを可能にするものです。

2025年10月14日、同社はCVE-2025-55315のパッチを発行しました。これは、Kestrelウェブサーバーコンポーネントに影響を与えるセキュリティ機能バイパスの脆弱性であり、CVSSスコア9.9という極めて高い評価を受けています。

• CVE ID: CVE-2025-55315
• 影響を受ける製品: ASP.NET Core (Kestrelウェブサーバー)
• 脆弱性の種類: セキュリティ機能バイパス / HTTPリクエスト密輸
• CVSS 3.1 スコア: 9.9 (緊急)
• 悪用の前提条件: 特定の構成でKestrelサーバーを使用するASP.NET Coreアプリケーション

脆弱性の詳細: Kestrelウェブサーバーの解析不備

この脆弱性は、ASP.NET CoreのKestrelウェブサーバーにおける不適切なリクエスト解析に起因します。Kestrelは多くのエンタープライズアプリケーションの基盤として機能していますが、特定の条件下でリクエストの境界を適切に検証できず、攻撃者が正規のトラフィック内に隠された悪意のあるリクエストを注入する機会を生み出します。

このセキュリティ機能バイパスは、アプリケーションが機密リソースを保護するために依存している認証および認可メカニズムを迂回する可能性があります。HTTPリクエスト密輸は、プロキシやバックエンドサーバーなど、リクエスト処理チェーン内の異なるコンポーネント間の不整合を悪用します。攻撃者は、Content-LengthやTransfer-EncodingといったHTTPヘッダーを操作し、見かけ上は正常なリクエストの中に第2のリクエストを隠蔽します。プロキシとバックエンドサーバーがこれらのヘッダーを異なる方法で解釈すると、隠されたリクエストはセキュリティ制御を迂回し、保護されたアプリケーションコードに検出されずに到達する可能性があります。

潜在的な影響と攻撃シナリオ

CVSSスコア9.9は、潜在的な影響の深刻さを反映しており、以下のような事態を引き起こす可能性があります。

• 権限昇格
• サーバーサイドリクエストフォージェリ (SSRF)
• セッションハイジャック
• 場合によってはコード実行

例えば、攻撃者がプロキシサーバーとKestrelバックエンド間の解析の違いを悪用するリクエストを作成するシナリオが考えられます。リクエストヘッダーを操作することで、攻撃者は通常のルーティングやセキュリティチェックを迂回する隠されたリクエストを密輸します。この密輸されたリクエストは、管理エンドポイント、内部API、または通常は保護されている認証メカニズムを標的とする可能性があります。アプリケーションロジックが特定のヘッダーを適切な検証なしに信頼している場合、密輸されたログインリクエストが権限昇格につながることもあり得ます。同様に、内部APIへの密輸された呼び出しは、サーバーサイドリクエストフォージェリを可能にし、攻撃者が隔離されるべきリソースにアクセスすることを許します。CSRFトークン検証が弱い場合、密輸されたリクエストはセッションハイジャックを容易にする可能性があります。入力サニタイズの不備と組み合わせると、この脆弱性を介して密輸されたインジェクションペイロードがコード実行につながる可能性もあります。

推奨される対策

ASP.NET Coreアプリケーションを実行している組織は、2025年10月14日のセキュリティアップデートを直ちに適用することを最優先すべきです。この脆弱性はユーザー操作を必要とせず、低い攻撃の複雑さでネットワーク経由でリモートから悪用できるため、悪意のあるアクターにとって魅力的な標的となります。

システム管理者は、特に本番環境でKestrelを使用しているASP.NET Coreのデプロイメントを確認し、堅牢なセキュリティ体制を維持するために遅滞なくパッチを適用する必要があります。

---

元記事: https://gbhackers.com/microsoft-issues-alert-on-asp-net-flaw/