Компания Microsoft выпустила экстренный патч для закрытия критической уязвимости CVE-2025-55315 в веб-сервере Kestrel для ASP.NET Core. Уязвимость, оцененная как наиболее серьезная за всю историю фреймворка, позволяла злоумышленникам получать доступ к конфиденциальным данным и нарушать работу серверов.
Характеристики уязвимости:
- Идентификатор: CVE-2025-55315
- Механизм: Уязвимость перенаправления HTTP-запросов
- Риск: Критический (CVSS 9.8)
Возможные атаки:
- Перехват сессий: Получение учетных данных и токенов авторизации
- Обход безопасности: Несанкционированный доступ к защищенным функциям
- Изменение данных: Модификация файлов на сервере
- Отказ в обслуживании: Нарушение работы серверных приложений
Рекомендуемые действия:
Для .NET 8 и новее:
- Включить Microsoft Update
- Установить автоматические обновления
- Перезагрузить системы после установки патча
Для .NET Core 2.x:
- Обновить пакет Microsoft.AspNetCore.Server.Kestrel.Core
- Перекомпилировать и переразвернуть приложения
Для автономных приложений:
- Установить последние обновления .NET
- Пересобрать и переразвернуть приложения
Затронутые версии:
Контекст угрозы:
По словам представителя Microsoft, последствия эксплуатации зависят от архитектуры конкретного приложения. Злоумышленник мог:
- Выполнять скрытые внутренние запросы
- Повышать привилегии используя чужие учетные данные
- Обходить системы аутентификации и авторизации
Рекомендация: Компаниям следует немедленно установить обновления и провести аудит своих ASP.NET Core приложений на предмет необычной активности. Уязвимость уже активно исследуется сообществом безопасности, что увеличивает риск скорейшей эксплуатации в дикой природе.
Подписывайтесь на наш телеграмм канал и читайте новости в удобном формате — https://t.me/occlub_ru. Прямо сейчас там идет розыгрыш корпуса.