Microsoft, ASP.NET Core için, HTTP istek kaçakçılığına olanak tanıyan ve saldırganların önemli güvenlik kontrollerini atlamasına olanak tanıyan yüksek önem derecesine sahip bir kusur olan CVE-2025-55315’i gidermek için kritik bir güvenlik güncelleştirmesi yayınladı.
14 Ekim 2025’te açıklanan bu güvenlik açığının CVSS v3.1 puanı 9,9’dur ve bu da onu ASP.NET ekosisteminde şimdiye kadar bildirilen en ciddi sorunlardan biri haline getiriyor.
Kusur, Kestrel web sunucusu bileşenindeki HTTP isteklerinin tutarsız bir şekilde işlenmesinden kaynaklanıyor; bu durum, kimliği doğrulanmış saldırganların ayrıcalıkları yükseltmek veya hassas verilere erişmek için gizli istekler eklemesine olanak tanıyor.
HTTP istek kaçakçılığı iyi bilinen bir saldırı vektörü olsa da ASP.NET Core’daki bu özel uygulama, kimlik doğrulama ve yetkilendirme çerçevesine dayanan web uygulamalarına yönelik riskleri artırır.
Saldırganlar, proxy sunucuların ve sunucuların Content-Length ve Transfer-Encoding gibi başlıkları ayrıştırma şekli arasındaki farklılıklardan yararlanarak normal işlemlerden kaçan kötü amaçlı yükleri kaçırır.
Örneğin, hazırlanmış bir POST isteği, gizli bir GET’i yönetici uç noktasına gömerek sistemi, tespit edilmeden yetkisiz eylemler yürütmesi için kandırabilir.
HTTP İstek Kaçakçılığını Anlamak
HTTP istek kaçakçılığı özünde, ön uç proxy’ler ve arka uç sunucular gibi ağ bileşenleri arasındaki tutarsızlıkların ayrıştırılmasından yararlanır.
Saldırgan, İçerik Uzunluğu ve Aktarım Kodlamasını birleştirmek gibi belirsiz başlıklara sahip bir istek göndererek proxy’nin bunu tek yönlü yorumlamasına, sunucunun ise kaçak içeriği farklı görmesine neden olur.
Bu, ikinci isteğin hız sınırlarını, CSRF korumalarını ve hatta kimlik doğrulama kontrollerini atlamasına neden olarak çok katmanlı ortamlarda ciddi sonuçlara yol açabilir.
CVE-2025-55315 vakasında, Kestrel sunucusunun belirli koşullar altında istek sınırlarını doğrulayamaması, kaçak isteklerin uygulama mantığına bozulmadan ulaşmasına olanak tanıyor.
Bu, özellikle NGINX veya Azure Front Door gibi ters proxy’lere sahip kurulumlarda 8.0, 9.0 ve 10.0 önizlemeleri dahil olmak üzere desteklenen tüm ASP.NET Core sürümlerini etkiler.
Suistimal, ağ erişimi ve genellikle düşük ayrıcalıklar gerektirir, ancak kapsam, en kötü senaryolarda gizli verilerin açığa çıkması veya sunucu çökmelerine kadar uzanabilir.
Güvenlik açığının yüksek puanı, oturum ele geçirmeden sunucu tarafı istek sahteciliğine kadar zincirleme saldırı potansiyelinin altını çiziyor.
Tüm uygulamalar eşit derecede kullanıma açık değildir; Özel istek ayrıştırma, başlığa dayalı kararlar veya atlanan doğrulamalar söz konusu olduğunda riskler artar.
Hassas verileri işleyen düzenlemeye tabi sektörler için yama uygulanmamış sistemler, ayrıcalık artışı gibi doğrudan tehditlerin yanı sıra uyumluluk ihlalleriyle de karşı karşıya kalabilir.
| Saldırı Vektörü | Potansiyel Etki | bağlıdır |
|---|---|---|
| Kaçak giriş isteği | Ayrıcalığın yükselmesi | Uygulama mantığına güvenen üstbilgiler |
| Kaçak dahili API çağrısı | SSRF | Uygulama yönlendirme ve uç noktalar |
| Kaçak CSRF baypas | Oturum ele geçirme | CSRF belirteci doğrulaması |
| Kaçak enjeksiyon yükü | Kod yürütme | Giriş temizleme boşlukları |
Azaltmalar
Microsoft, etkilenen sürümler için en son .NET güncelleştirmeleri yoluyla hemen düzeltme eki uygulanmasını ve ardından uygulamanın yeniden başlatılmasını önermektedir.
Geliştiriciler, proxy’lerin kaçakçılık girişimlerini engellemek için trafiği normalleştirmesini sağlarken, özellikle kimlik doğrulama ve giriş doğrulama konusunda istek işleme kodunu denetlemelidir.
Anormal kalıplar için günlüklerin izlenmesi ve HRS’yi simüle eden araçlar gibi araçlarla test yapılması, savunmayı daha da güçlendirebilir. Kuruluşlar, bu önlemleri uygulayarak ASP.NET uygulamalarını bu yaygın tehdit ortamına karşı koruyabilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
