この記事はC# Advent Calendar 2025の17日目の記事です。
今回は、10月末に報告された、ASP.NET Coreに影響を与える脆弱性について解説いたします。かなり深刻な脆弱性のため、もしも古いバージョンなどを使っている場合には改めてご注意ください。
はじめに
マイクロソフトは10月末に、すべてのバージョンの ASP.NET Core に影響を与える重大な脆弱性 CVE-2025-55315 を公開しました。この脆弱性は、CVSS スコアが 9.9 という驚異的な高さであり、ソフトウェアのアップデートを常に最新の状態に保つことの重要性を示しています。
技術的な詳細
この脆弱性は、ASP.NET Core における HTTP リクエストの解釈の不整合に関わるもので、HTTP リクエスト・スマグリングと呼ばれる高度な攻撃を可能にします。ASP.NET Core における HTTP リクエスト・スマグリングは中程度の脅威ですが、マイクロソフトの CVSS スコア 9.9 は、ASP.NET Core 上に構築されたアプリケーションへの潜在的な影響という、より深い懸念を反映しています。これは、HTTP リクエスト・スマグリングによって、攻撃者が別の HTTP リクエストの中に隠された HTTP リクエストを埋め込むことができるためです。潜在的な危険性は、この密輸されたリクエストが ASP.NET Core 上に構築されたアプリケーションを標的として、どのようなことを達成できるかにあります。
ASP.NET Core アプリケーションによっては、HTTP リクエスト・スマグリングによって、以下のような事態が発生する可能性があります。
- 権限昇格(EOP):攻撃者が別ユーザーとしてログインする。
- サーバー・サイド・リクエスト・フォージェリ(SSRF):ネットワーク内で内部リクエストを実行する。
- CSRF チェックのバイパス:クロスサイト・リクエスト・フォージェリの保護を回避する。
- インジェクション攻撃:悪意のあるデータ・インジェクションによる脆弱性の悪用。
マイクロソフトは、セキュリティ機能のバイパスが攻撃の範囲を根本的に変える可能性があるという最悪のシナリオを想定して CVE にスコアを付けています。したがって、CVSS スコアは 9.9 であり、ASP.NET のこれまでの CVSS スコアの中で最高です。
9.9 という評価がレッドアラートである理由
CVSS スコア 9.9 は、最大値である 10 にわずかに及ばないだけで、深刻な脅威を示しています。この評価は、脆弱性が ASP.NET アプリケーションに依存していることを示しています。
- 悪用が容易:脆弱性の悪用には最小限の労力しか必要とせず、多くの場合、認証なしでリモートアクセスが可能です。
- 完全な侵害:システムの機密性、完全性、可用性が完全に侵害される可能性が非常に高い。
- 活発な悪用のリスク:このような脆弱性は、活発な悪用の標的となるか、パッチを適用せずに放置すると、即座に深刻な脅威をもたらす可能性があります。
9.9 という評価が表示された場合は、この問題のパッチ適用または軽減を最優先事項とするべきであるという明確なシグナルです。
.NET 8、9、または 10 にアップグレードする
幸いなことに、マイクロソフトはこの脆弱性に迅速に対処し、.NET 8 および 9、そして .NET 10 のリリース候補 2 でパッチが適用されています。
これらのバージョンで ASP.NET アプリケーションを実行しているすべての .NET 開発者は、直ちにアップデートしてください。サポートされている最新バージョンにアップグレードすることで、最新のセキュリティ強化と保護の恩恵を受けることができます。
.NET 6 を利用している場合
.NET 6 などの古い .NET バージョンをまだ実行している環境の場合は、今すぐ行動してください。HeroDevs には解決策があり、お客様のセキュリティを維持します。新しいメジャーリリースへの移行が長期的な解決策であることは承知していますが、すぐにアップグレードできない場合があることも理解しています。すぐに移行できない場合は、HeroDevs にお問い合わせいただき、.NET NES (Never-Ending Support) をご利用ください。当社の .NET 向け NES プログラムは、レガシー .NET バージョンに不可欠なセキュリティパッチと継続的なメンテナンスを提供し、より新しい .NET リリースへの移行を計画および実行しながら、アプリケーションとシステムを保護します。
検出されない脅威
注意点があります。マイクロソフトは、.NET 6 などの EOL ソフトウェアに関する CVE を報告しないため、セキュリティスキャナやその他のエンドポイント管理ツールでは、システム上のこの重大な脆弱性を検出できない場合があります。ただし、CVE の検出がないからといって、脆弱性が存在しないわけではないことを理解することが重要です。脅威は依然として存在し、サポートされていないバージョンの .NET で実行されているシステムは、CVE-2025-55315 で概説されているリスクにさらされているため、事前の軽減またはアップグレードが不可欠です。
.NET 8、9、または 10 に移行またはアップグレードできない場合は、HeroDevs NES for .NET 6 を使用して、この CVE をすぐに修正できます。
プロアクティブなオープンソース・セキュリティ
セキュリティアップデートに積極的に対応することが、進化し続ける脅威に対する最良の防御策です。.NET 8、9、または10にアップグレードするか、古いバージョンの.NETの延長サポートを確保することで、アプリケーションとユーザーを保護できます。
.NET 6をお使いの場合には、HeroDevsまでお問い合わせくださいませ。
https://www.herodevs.com/contact
参考: