概要
マイクロソフトは今週、ASP.NET Coreのセキュリティ脆弱性として過去最高となる深刻度が付けられたHTTPリクエスト密輸のバグ(CVE-2025-55315)を修正しました。この脆弱性は、Kestrel ASP.NET Coreウェブサーバーで発見され、認証された攻撃者が他のHTTPリクエストを密輸することで、ユーザーの認証情報を乗っ取ったり、フロントエンドのセキュリティ制御を回避したりする可能性がありました。
脆弱性の詳細と影響
この脆弱性「CVE-2025-55315」は、HTTPリクエスト密輸攻撃を可能にするものです。マイクロソフトの勧告によると、攻撃者がこの脆弱性を悪用した場合、他のユーザーの認証情報などの機密情報を閲覧(機密性)し、ターゲットサーバー上のファイル内容を変更(完全性)する可能性があり、さらにはサーバー内でクラッシュを引き起こす(可用性)こともあり得るとされています。
マイクロソフトによる推奨される対策
ASP.NET Coreアプリケーションを潜在的な攻撃から保護するため、マイクロソフトは開発者およびユーザーに対し、以下の措置を講じるよう推奨しています。
- .NET 8以降を実行している場合: Microsoft Updateから.NETの更新プログラムをインストールし、アプリケーションを再起動するか、マシンを再起動してください。
- .NET 2.3を実行している場合: Microsoft.AspNet.Server.Kestrel.Coreのパッケージ参照を2.3.6に更新し、アプリケーションを再コンパイルして再デプロイしてください。
- 自己完結型/単一ファイルアプリケーションを実行している場合: .NETの更新プログラムをインストールし、再コンパイルして再デプロイしてください。
提供されたセキュリティアップデート
この脆弱性に対処するため、マイクロソフトは以下の製品およびパッケージ向けにセキュリティアップデートをリリースしました。
- Microsoft Visual Studio 2022
- ASP.NET Core 2.3
- ASP.NET Core 8.0
- ASP.NET Core 9.0
- ASP.NET Core 2.xアプリ向けのMicrosoft.AspNetCore.Server.Kestrel.Coreパッケージ
.NETセキュリティ技術プログラムマネージャーのバリー・ドーランス氏は、CVE-2025-55315攻撃の影響はターゲットとなるASP.NETアプリケーションに依存すると説明しています。悪用が成功した場合、攻撃者は異なるユーザーとしてログインして特権昇格を行ったり、内部リクエストを作成してサーバーサイドリクエストフォージェリ(SSRF)攻撃を行ったり、クロスサイトリクエストフォージェリ(CSRF)チェックをバイパスしたり、インジェクション攻撃を実行したりする可能性があるとのことです。ドーランス氏は、「アプリケーションコードが通常とは異なる動作をして、本来行うべきチェックの多くをスキップしていない限り、その可能性は低い」としつつも、「最悪のケースを想定して評価している」と述べ、速やかなアップデートの重要性を強調しました。
広範なセキュリティアップデートの背景
今月のパッチチューズデーでは、マイクロソフトは合計172件の脆弱性に対するセキュリティアップデートをリリースしました。これには、8件の「緊急」レベルの脆弱性と、3件が実際に攻撃で悪用された6件のゼロデイ脆弱性が含まれています。また、Windows 10のサポート終了に伴い、最終的なセキュリティアップデートであるKB5066791も公開されました。