Корпорация Microsoft выпустила экстренное обновление безопасности, устраняющее критическую уязвимость в ASP.NET Core, которая позволяет злоумышленникам осуществлять атаки типа HTTP request smuggling (подмена HTTP-запросов). 14 октября 2025 года компания опубликовала патчи для уязвимости CVE-2025-55315, представляющей собой обход механизмов безопасности в компоненте веб-сервера Kestrel. Тревогу вызывает оценка CVSS 9.9 баллов, что соответствует категории критической серьезности.
Детали уязвимости
Уязвимость возникает из-за некорректного анализа запросов в веб-сервере Kestrel, который служит основой для многочисленных корпоративных приложений. При определенных условиях Kestrel неправильно проверяет границы запросов, создавая возможность для злоумышленников внедрять скрытые вредоносные запросы внутри легитимного трафика. Этот обход функций безопасности может подорвать механизмы аутентификации и авторизации, от которых приложения зависят для защиты конфиденциальных ресурсов.
Атаки подмены HTTP-запросов эксплуатируют несоответствия между различными компонентами в цепочке обработки запросов, такими как прокси-серверы и серверы backend. Злоумышленники манипулируют заголовками HTTP, такими как Content-Length и Transfer-Encoding, чтобы замаскировать второй запрос внутри внешне нормального. Когда прокси и backend-сервер интерпретируют эти заголовки по-разному, скрытый запрос может обойти средства контроля безопасности и достичь защищенного кода приложения незамеченным.
Оценка 9.9 по шкале CVSS отражает серьезность потенциальных последствий, которые включают повышение привилегий, подделку запросов на стороне сервера, захват сессий и в некоторых сценариях потенциальное выполнение кода. Хотя не каждое приложение ASP.NET Core уязвимо, высокая оценка учитывает наихудшие сценарии, чтобы стимулировать немедленное устранение проблемы, особенно для приложений, обрабатывающих конфиденциальные или строго регулируемые данные.
Рассмотрим сценарий, при котором злоумышленник создает запрос, использующий различия в анализе между прокси-сервером и Kestrel backend. Манипулируя заголовками запросов, атакующий скрытно передает запрос, который обходит обычную маршрутизацию и проверки безопасности. Этот подмененный запрос может нацеливаться на административные конечные точки, внутренние API или механизмы аутентификации, которые обычно защищены. Например, подмененный запрос входа в систему может привести к повышению привилегий, если логика приложения доверяет определенным заголовкам без надлежащей проверки.
Аналогично, скрытые вызовы внутренних API могут позволить осуществлять подделку запросов на стороне сервера, давая атакующим доступ к ресурсам, которые должны оставаться изолированными. В случаях, когда проверка токенов CSRF слабая, подмененные запросы могут способствовать захвату сессий. В сочетании с пробелами в санации входных данных, внедренные через эту уязвимость полезные нагрузки могут потенциально привести к выполнению кода.
Организации, использующие приложения ASP.NET Core, должны немедленно установить обновление безопасности от 14 октября 2025 года. Уязвимость не требует взаимодействия с пользователем и может быть удаленно эксплуатирована через сеть с низкой сложностью атаки, что делает ее привлекательной целью для вредоносных акторов. Системные администраторы должны пересмотреть свои развертывания ASP.NET Core, особенно те, которые используют Kestrel в производственных средах, и внедрить патчи без задержек для поддержания надежной безопасности.
Своевременное применение обновлений остается наиболее эффективной мерой противодействия этой серьезной угрозе. Для организаций, которые не могут немедленно обновить системы, рекомендуется усилить мониторинг сетевой активности на предмет аномальных паттернов запросов и пересмотреть конфигурации обратных прокси-серверов на предмет соответствия с backend-приложениями. Понимание механизмов работы уязвимости позволяет специалистам по безопасности более эффективно выстраивать защиту критически важных веб-приложений.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-55315
- https://www.microsoft.com/en-us/msrc/blog/2025/10/understanding-cve-2025-55315
