はじめに: 過去最高深刻度の脆弱性
今週初め、MicrosoftはASP.NET Coreのセキュリティ脆弱性として「過去最高」の深刻度評価を受けたバグを修正しました。このHTTPリクエスト密輸の脆弱性(CVE-2025-55315)は、Kestrel ASP.NET Coreウェブサーバーで発見されました。この脆弱性により、認証された攻撃者は別のHTTPリクエストを密輸し、他のユーザーの認証情報を乗っ取ったり、フロントエンドのセキュリティ制御を回避したりする可能性があります。
脆弱性の詳細と影響
Microsoftの火曜日の勧告によると、「この脆弱性を悪用した攻撃者は、他のユーザーの認証情報などの機密情報を閲覧(機密性)、ターゲットサーバー上のファイル内容を変更(完全性)、そしてサーバー内でクラッシュを強制(可用性)する可能性があります。」
開発者とユーザーへの推奨事項
Microsoftは、ASP.NET Coreアプリケーションを潜在的な攻撃から保護するために、開発者とユーザーに以下の対策を講じるよう助言しています。
- .NET 8以降を実行している場合:Microsoft Updateから.NET更新プログラムをインストールし、アプリケーションを再起動またはマシンを再起動してください。
- .NET 2.3を実行している場合:Microsoft.AspNet.Server.Kestrel.Coreのパッケージ参照を2.3.6に更新し、アプリケーションを再コンパイルして再デプロイしてください。
- 自己完結型/単一ファイルアプリケーションを実行している場合:.NET更新プログラムをインストールし、再コンパイルして再デプロイしてください。
提供されたセキュリティアップデート
この脆弱性に対処するため、Microsoftは以下の製品およびパッケージのセキュリティアップデートをリリースしました。
- Microsoft Visual Studio 2022
- ASP.NET Core 2.3
- ASP.NET Core 8.0
- ASP.NET Core 9.0
- ASP.NET Core 2.xアプリ向けのMicrosoft.AspNetCore.Server.Kestrel.Coreパッケージ
専門家の見解と追加情報
.NETセキュリティ技術プログラムマネージャーのバリー・ドーランズ氏は、CVE-2025-55315攻撃の影響はターゲットとなるASP.NETアプリケーションに依存すると説明しました。悪用が成功した場合、攻撃者は別のユーザーとしてログイン(権限昇格)、内部リクエストの実行(サーバーサイドリクエストフォージェリ攻撃)、クロスサイトリクエストフォージェリ(CSRF)チェックのバイパス、またはインジェクション攻撃を実行できる可能性があります。
ドーランズ氏は、「アプリケーションの記述方法に依存するため、何が可能かは不明です。そのため、スコアは最悪のケース、つまりスコープを変更するセキュリティ機能のバイパスを想定しています。」と述べ、さらに「それはありそうか?おそらくそうではありません。ただし、アプリケーションコードが奇妙なことをしていて、すべてのリクエストで行うべきチェックの束をスキップしている場合は別です。しかし、どうか更新してください。」と強調しました。
今月のPatch Tuesdayでは、8件の「緊急」、6件のゼロデイバグ(うち3件は攻撃で悪用済み)を含む172件の脆弱性が修正されました。また、Microsoftは、Windows 10のサポートライフサイクル終了に伴う最終セキュリティアップデートを含むKB5066791も公開しました。