はじめに
セキュリティ研究者らは、.NET FrameworkのHTTPクライアントプロキシアーキテクチャにおける「SOAPwn」と名付けられた一連の重大な脆弱性を公表しました。これにより、複数の企業向けプラットフォームでリモートコード実行(RCE)が可能となります。
Black Hat Europe 2025でPiotr Bazydlo氏によって発表されたこの研究は、FrameworkのSOAPクライアントプロキシとWSDLインポートの処理における根本的な設計上の欠陥を明らかにしています。この脆弱性は、HttpWebClientProtocolクラスにおける無効なキャストに起因しており、SOAPプロキシメソッドに渡されるURLの検証が正しく行われないことで発生します。これにより、攻撃者はリクエストをHTTPエンドポイントではなくファイルシステムハンドラにリダイレクトさせ、任意のファイル書き込みとコード実行を可能にします。
「SOAPwn」脆弱性の詳細
この脆弱性の中心は、ServiceDescriptionImporterという標準的な.NET Frameworkクラスが悪用される点にあります。通常、このクラスはWSDL定義からSOAPクライアントプロキシを生成するために使用されます。しかし、WatchTowrの研究者らが実証したように、悪意のあるWSDLファイルは、メソッド名、引数、ターゲットURLを含む生成されたプロキシコードを完全に制御できることを示しています。
特に、file://プロトコルのURLを指定することで、攻撃者はSOAPリクエストを強制的にファイルシステムに直接書き込ませることができ、これにより事実上、任意のファイル書き込みプリミティブが作成されます。攻撃者は、XMLシリアライゼーションやネームスペースインジェクションなど複数の手法を用いて、ASPXウェブシェルやCSHTMLペイロードを展開することが可能です。
ServiceDescriptionImporterにおけるURLスキーム検証の欠如が、フレームワークレベルでのこのエクスプロイトを可能にし、すべての依存アプリケーションに影響を及ぼしています。
影響を受ける製品とプラットフォーム
この研究では、いくつかのエンタープライズソリューションに対するエクスプロイトが確認されています。
- Barracuda Service Center RMM (CVE-2025-34392): 事前認証SOAP APIメソッドを悪用し、認証されていない攻撃者が任意のWSDLメソッドを呼び出し、資格情報なしでRCEを達成できます。
- Ivanti Endpoint Manager (CVE-2025-13659): フォーム編集権限を持つユーザーに対する認証後のエクスプロイトリスクを提示します。
- その他、Umbraco 8 CMS、Microsoft PowerShell、およびSQL Server Integration Servicesも影響を受けるプラットフォームとして挙げられています。
ベンダーの対応と推奨事項
Microsoftは、この問題をフレームワークの脆弱性とは見なさず、入力検証の責任はアプリケーション開発者にあるとして、根本的なFrameworkのパッチ適用を拒否しました。しかし、各ベンダーは独立して対応を進めています。
- Barracudaは、ホットフィックス2025.1.1をリリースしました。
- Ivantiおよびその他のベンダーも、それぞれパッチを展開しました。
セキュリティチームは、影響を受けるアプライアンスのアップデートを優先し、同様のリスクがないかWSDLを利用するアプリケーションをレビューすることが強く推奨されます。
元記事: https://gbhackers.com/new-soapwn-net-flaws-expose-barracuda-ivanti/