PR

.NET SOAPwn:WSDL悪用で任意ファイル書き込みとRCE

Security

Source:https://thehackernews.com/2025/12/net-soapwn-flaw-opens-door-for-file.html

🛡 概要

.NET Framework系アプリにおける「SOAPwn」(無効なキャストに起因する設計上の欠陥)が、攻撃者制御のWSDLを介してHTTPクライアントプロキシを悪用し、任意ファイル書き込みやリモートコード実行(RCE)を引き起こすことが明らかになりました。影響を受けた製品として Barracuda Service Center RMM(CVE-2025-34392、CVSS 9.8)と Ivanti Endpoint Manager(CVE-2025-13659、CVSS 8.8)が修正を公開済み。Umbraco 8を含む多数の.NET採用製品で再現可能性が示唆されており、修正方針は各アプリ側の実装・設定改善が中心です。

🔍 技術詳細

問題の本質は、.NETのWSDLインポートおよび自動生成されるHTTPクライアントプロキシのURL処理にあります。多くのアプリはユーザ入力や外部設定からWSDLのURLを受け取り、ServiceDescriptionImporter等でプロキシコードを生成・利用します。この際、URLスキームや宛先の厳格な検証が行われないと、file:// や UNC(\\host\share 由来、URL表記では file://host/share)といったローカル/SMBハンドラへ誘導され、HTTP送信されるはずのSOAPリクエスト本文が、ファイルシステム経由で任意パスへ書き込まれてしまいます。書き込み先は攻撃者が完全に制御できるため、IIS配下のWebルートやアプリのコンテンツディレクトリにASPX/CSHTMLのウェブシェル、あるいはPowerShellスクリプト等を落とし込み、以後のリモート実行・横展開の足掛かりになります。

さらに、宛先がUNCのSMB共有である場合、サーバ(例:w3wp.exe などのアプリプールID)が外部SMBへアクセスしNTLM認証を試行する挙動が誘発されます。これにより攻撃者はNTLMチャレンジ/レスポンスを捕捉し、オフラインでのクラックやリレー攻撃に転用する余地が生まれます。実運用では、(1) 攻撃者制御WSDL→(2) プロキシ生成→(3) file:///UNC 宛先へのSOAP書き込み→(4) 任意ファイル生成やNTLM漏えい→(5) ウェブシェル経由実行・持続化、といった一連の流れが成立します。

研究発表では、Microsoftはフレームワークの「想定どおりの挙動」であり、アプリ側で不信頼入力を用いたコード生成・実行を避けるべきとの立場を示しています。従って、実務的には各ベンダ/ユーザがアプリケーション層での入力検証、スキーム制限、書込権限の最小化、外向きSMB/NTLM抑制などを適用することが根本対策となります。

⚠ 影響

  • 任意ファイル書き込み(既存ファイルの上書き含む)
  • RCE(ASPX/CSHTMLウェブシェルやPowerShellスクリプト投下)
  • NTLM認証情報の漏えい・リレー、オフラインクラックによる資格情報侵害
  • アプリケーション改ざん、持続化、横展開の足場形成

対象CVEとCVSS: CVE-2025-34392(CVSS 9.8)、CVE-2025-13659(CVSS 8.8)。Barracuda RMM 2025.1.1、Ivanti EPM 2024 SU4 SR1で修正済み。

🛠 対策

  • パッチ適用・バージョン更新:Barracuda RMM 2025.1.1、Ivanti EPM 2024 SU4 SR1 へ速やかに更新。影響の可能性がある他の.NETアプリもベンダ通達を継続確認。
  • 入力検証とスキーム制限:WSDL/エンドポイントURLは許可リスト方式(https の特定ドメインのみ)。file://、UNC、webdav(http/httpsでのDAV)を拒否。相対/混在スキームも拒否。
  • コード生成の抑制:動的WSDLインポートや自動プロキシ生成を無効化/限定。ビルド時生成・固定参照へ移行し、実行時に外部WSDLを受けない。
  • 権限最小化:IISアプリプールIDにWebルートへの書込権限を与えない。コンテンツと生成物ディレクトリを分離し、書込可能領域を実行不可に(IIS Request Filtering/Handler Mappings、NTFS実行権剥奪)。
  • ネットワーク制御:外向きSMB(445/TCP)・NTLMを遮断。プロキシ/ファイアウォールでサーバからインターネットへのSMB/WebDAVを禁止。NTLMの使用制限(「Restrict NTLM」をドメイン/サーバで適用)、SMB署名/チャネルバインディングを有効化。
  • 監視・検知強化:w3wp.exe等からのcsc.exe/PowerShell起動を警戒。Webルート直下への .aspx/.cshtml/.ps1 新規作成を即時アラート。

📌 SOC視点

  • IISログ:SOAP/ASMXエンドポイントへの不審なアクセス、外部WSDL参照(URLやパラメータに外部ホスト・fileスキームが示唆される痕跡)。
  • Sysmon:Event ID 3(w3wp.exe→外部445/TCPへの接続)、11(Webルートへの .aspx/.cshtml/.ps1 FileCreate)、1(w3wp.exe子プロセスとしてcsc.exe/powershell.exe)。
  • Windowsセキュリティログ:4624/4625(タイプ3のSMBログオン)、4776(NTLM認証)、DC側での認証異常増加。
  • SMBClient/Operationalログ:外部ホストへの接続失敗や名前解決異常の連続発生。
  • EDR検知ルール例:IISプロセスからのコンパイラ/スクリプト実行、Webコンテンツディレクトリへの実行可能拡張子書込、短時間での連続ファイル作成+HTTP 200/500の揺らぎ。

📈 MITRE ATT&CK

  • Initial Access: T1190 Exploit Public-Facing Application − 公開SOAPエンドポイントが攻撃者制御WSDLを受け取り、脆弱なURL処理を突かれて悪用される。
  • Credential Access: T1187 Forced Authentication − file:///UNC誘導によりサーバが攻撃者SMBへNTLMで接続し、資格情報が捕捉されうる。
  • Persistence: T1505.003 Web Shell − 任意ファイル書き込みでASPX/CSHTMLウェブシェルを配置し持続化。
  • Execution: T1059.001 PowerShell − 投下したスクリプトやウェブシェル経由でPowerShell実行。
  • Credential Access: T1110.002 Password Cracking − 捕捉したNTLMレスポンスのオフラインクラック。

🏢 組織規模別助言

  • 小規模(〜50名):影響製品の即時アップデート、IISの書込権限見直し、外向きSMB遮断を優先。WSDL参照は固定化し、運用で外部URLを受けない方針に。
  • 中規模(50〜500名):EDRでw3wp.exeの子プロセス監視、Sysmon導入、FWで445/TCP遮断+NTLM制限を段階適用。構成管理で動的WSDL機能を既定無効に。
  • 大規模(500名以上):ゼロトラスト方針下でサーバのEgress制御を厳格化。CI/CDで静的参照の検証ゲートを設け、SASTルールでServiceDescriptionImporterの不適切使用を検出。全IIS群でWebルートの書込禁止を標準化。

🔎 類似事例

  • CVE-2017-8759(.NET FrameworkのWSDL/Soap処理RCE)
  • CVE-2019-18935(Telerik UI for ASP.NET AJAX RCE:.NETスタックでの任意コード実行)
  • CVE-2017-10271(Oracle WebLogic WLS-WS SOAP経由RCE)
  • NTLM強制認証(Forced Authentication)を用いた資格情報収集キャンペーン全般

🧭 次の一手

  • 自社.NETアプリのWSDL取り扱い棚卸(動的参照の有無、許可スキーム/ドメイン)と是正計画の立案。
  • IISのNTFS権限テンプレート見直し(Webルート書込禁止、実行不可ディレクトリの分離)。
  • 外向きSMB/NTLMの遮断を検証環境で評価し、本番へ段階適用。
  • 該当CVEの修正適用状況を継続監査し、ベンダアドバイザリを購読。