Microsoft випустила термінові виправлення для критичної уразливості CVE-2025-55315 у веб-сервері Kestrel, що використовується в ASP.NET Core. Помилка класифікована як HTTP request smuggling (HRS) і отримала CVSS 9.9/10, оскільки за певних умов дає змогу проштовхнути додатковий запит повз фронтенд-проксі, що створює можливості для викрадення облікових даних, обходу контролів доступу та інших зловживань.
Що відомо про CVE-2025-55315 та її вплив на безпеку
Уразливість зачіпає високопродуктивний сервер Kestrel. За оцінкою Microsoft, автентифікований зловмисник може інжектувати прихований HTTP-запит, що призводить до перехоплення чутливих даних (включно з обліковими записами інших користувачів), модифікації вмісту файлів на цільовому хості та потенційного зриву доступності сервісу. Високий бал CVSS зумовлений сукупним впливом на конфіденційність, цілісність і доступність.
Кому і що оновлювати: патчі та пакети Microsoft
Для усунення ризику Microsoft опублікувала виправлення для Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0 і ASP.NET Core 9.0, а також оновлення пакета Microsoft.AspNetCore.Server.Kestrel.Core для застосунків на ASP.NET Core 2.x. Рекомендовано оновити цільові фреймворки та серверні пакети, перевиконати збірку та перевпровадити робочі навантаження. У контейнерних середовищах важливо перезібрати образи і синхронізувати базові шари з репозиторіями постачальників.
HTTP request smuggling (HRS): як працює атака і чому вона небезпечна
Атаки HRS експлуатують розбіжності в парсингу HTTP між компонентами тракту доставки — наприклад, між балансувальником/проксі і бекендом. Класичний вектор — різна інтерпретація Content-Length та Transfer-Encoding (CL/TE-невідповідність). У результаті шкідливий запит «ховається» в потоці і обробляється як частина наступної легітимної транзакції. Це відкриває шлях до перехоплення сесій, обходу CSRF-захисту, SSRF та ін’єкцій на внутрішніх маршрутах. За матеріалами OWASP і досліджень PortSwigger, HRS стабільно входить до переліку технік, що призводять до серйозних порушень ізоляції між клієнтами у багатокористувацьких системах.
Фактори середовища та логіки, що підвищують ризик експлуатації
Реальний вплив залежить від конкретної реалізації. Представники Microsoft зазначають, що оцінка базується на найгіршому сценарії: обхід захисту з розширенням області впливу. Ймовірність успішної атаки зростає у складних ланцюгах доставки — із кількома проксі, кешами, API-шлюзами, а також у багаторендних середовищах. Якщо логіка застосунку пропускає перевірки, які мають застосовуватися до кожного запиту, або покладається на припущення щодо меж транзакцій, ризик суттєво збільшується.
Практичні кроки пом’якшення ризику
Оновлення та інвентаризація
Негайно впровадьте патчі до всіх екземплярів ASP.NET Core і Kestrel. Проведіть інвентаризацію сервісів, де використовується HTTP/1.1 і проксування (Nginx, Apache, хмарні зворотні проксі), та переконайтеся у узгодженості версій фронтенду й бекенду.
Безпечна конфігурація ланцюга доставки
Увімкніть нормалізацію та фільтрацію заголовків на рівні проксі і бекенду, забороніть неоднозначні комбінації Content-Length/Transfer-Encoding, синхронізуйте таймаути keep-alive і розміри буферів. За можливості обмежте HTTP-pipelining, застосуйте сигнатури WAF, орієнтовані на HRS-патерни.
Тестування та моніторинг
Додайте перевірки на HTTP request smuggling у DAST/SAST-пайплайни; використовуйте профілі для виявлення CL/TE-аномалій. Посильте журналювання на проксі та в застосунку: кореляція запитів, пошук нетипових послідовностей, несподівані 4xx/5xx поряд із авторизаційними маршрутами. Перевірте коректність CSRF-мідлвар і валідації на рівні контролерів.
Критичний бал CVSS 9.9 та характер уразливості в Kestrel роблять оновлення першочерговим для команд, що підтримують ASP.NET Core. Навіть якщо в конкретному сервісі ймовірність експлуатації здається низькою, комбінація проксі, кешів та складної аутентифікації розширює площу атаки. Оновіть стек, перегляньте конфігурацію HTTP-тракту та включіть HRS-тести у конвеєри безпеки — це мінімізує ризики компрометації облікових даних і обходу механізмів захисту.
