🛡 概要
QNAPは、同社のNetBak PC Agentに影響を及ぼす重大なASP.NET Coreの脆弱性に関する警告を発表しました。この脆弱性はCVE-2025-55315として追跡されており、Kestrel ASP.NET Coreウェブサーバーに存在するセキュリティバイパスの欠陥です。攻撃者は低い権限で他のユーザーの資格情報をハイジャックしたり、HTTPリクエストスムージングを通じて前面のセキュリティ制御を回避することが可能です。QNAPは、ユーザーに対してWindowsシステムに最新のMicrosoft ASP.NET Coreアップデートをインストールすることを強く推奨しています。
🔍 技術詳細
CVE-2025-55315は、ASP.NET Coreのコンポーネントがインストールされているシステムに影響を及ぼします。NetBak PC Agentは、Microsoft ASP.NET Coreコンポーネントに依存しており、これにより影響を受けるバージョンが存在する可能性があります。攻撃者は特別に作成されたHTTPリクエストをウェブサーバーに送信することで、別のユーザーとしてログインしたり、CSRFチェックを回避したり、コードインジェクション攻撃を行うことができます。Microsoftはこの脆弱性に対して最高の深刻度評価を付与しており、攻撃の影響はターゲットとなるASP.NETアプリケーションによって異なります。
⚠ 影響
この脆弱性が悪用されると、認証された攻撃者は機密データへの不正アクセスを得たり、サーバーファイルの変更を行ったり、限られたサービス拒否状態を引き起こす可能性があります。特に、NetBak PC Agentを使用しているユーザーは、システムが最新のASP.NET Coreランタイムコンポーネントを含んでいない場合、重大なリスクにさらされています。QNAPは、これまでにも複数のセキュリティアップデートを提供しており、不正なコードの実行を防ぐための取り組みを行っていますが、ユーザー自身の対策が求められます。
🛠 対策
QNAPユーザーは、NetBak PC Agentアプリを再インストールするか、.NET 8.0のダウンロードページから最新のASP.NET Core Runtime(ホスティングバンドル)を手動でダウンロードしてインストールすることが推奨されています。これにより、システムを潜在的な攻撃から保護することが可能です。QNAPは、ユーザーに対し常に最新のセキュリティ情報を確認し、適切な対策を講じることが重要であると強調しています。
