Microsoft ліквідувала критичну уразливість ASP.NET Core (CVSS 9.9)

💡 Усі статті, обговорення, новини про DevOps — в одному місці. Приєднуйтесь до DevOps спільноти!

Корпорація Microsoft випустила термінові оновлення безпеки для усунення, можливо, найсерйознішої в історії ASP.NET Core уразливості, ідентифікованої як CVE-2025-55315. Проблема отримала 9.9 з 10 балів за шкалою CVSS, що вказує на її критичний характер.

Уразливість пов’язана з технікою «контрабанди» HTTP-запитів (HTTP request smuggling) і була виявлена у вебсервері Kestrel.

Технічні деталі уразливості

Проблема в Kestrel дозволяла аутентифікованому зловмиснику маніпулювати способом обробки HTTP-запитів. Шляхом надсилання спеціально сформованого запиту, атакуючий міг «проконтрабандити» додатковий, прихований HTTP-запит всередині основного.

Це, у свою чергу, відкривало можливості для:

• Перехоплення облікових даних інших користувачів.
• Обходу засобів захисту та механізмів автентифікації.
• Перегляду чутливої інформації, до якої зловмисник не повинен мати доступу.
• Внесення несанкціонованих змін у вміст файлів на цільовому сервері.
• Спричинення відмови в обслуговуванні (DoS) шляхом дестабілізації роботи сервера.

Аналіз векторів атаки та впливу

Баррі Дорранс (Barry Dorrans), технічний менеджер програми безпеки .NET, пояснив, що реальні наслідки експлуатації CVE-2025-55315 сильно залежать від архітектури та логіки конкретного ASP.NET-застосунку.

Серед потенційних векторів атаки:

• Підвищення привілеїв: Зловмисник може виконати запит від імені іншого користувача, потенційно з вищими правами доступу.
• Атаки SSRF (Server-Side Request Forgery): Можливість виконання внутрішніх запитів до сервісів, які не доступні ззовні.
• Обхід CSRF-захисту (Cross-Site Request Forgery): Маніпуляція сесіями користувачів.
• Виконання шкідливих ін’єкцій у відповіді сервера.

«Ми не знаємо напевно, що саме може статися — все залежить від того, як написано конкретний застосунок,» — зазначив Дорранс. «Тому ми оцінюємо уразливість за найгіршим сценарієм: обхід захисту зі зміною області впливу (Scope Change). У будь-якому випадку, будь ласка, оновіться».

Рекомендації з усунення (кроки для адміністраторів)

Microsoft надала чіткі інструкції для розробників та системних адміністраторів для усунення уразливості. Шлях оновлення залежить від версії .NET та типу розгортання:

1. Для .NET 8 (або новіше):
   • Встановіть останнє оновлення .NET через Microsoft Update (або інший канал розповсюдження).
   • Обов’язково перезапустіть застосунок або перезавантажте сервер, щоб зміни набули чинності.
2. Для .NET 2.3:
   • Необхідно оновити посилання на пакет Microsoft.AspNet.Server.Kestrel.Core до версії 2.3.6.
   • Повністю перекомпілювати застосунок.
   • Повторно розгорнути оновлений застосунок.
3. Для «Self-contained» / «Single-file» застосунків:
   • Навіть якщо застосунок автономний, необхідно встановити оновлений .NET SDK.
   • Перекомпілювати застосунок з оновленим SDK.
   • Повторно розгорнути артефакти.

Оновлення також випущені для Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0 та ASP.NET Core 9.0.