セキュリティ研究者は、「SOAPwn」と名付けられた .NET Framework の HTTP クライアントプロキシアーキテクチャにおける一連の重大な脆弱性を明らかにした。これにより、複数のエンタープライズ向けプラットフォームにわたってリモートコード実行(RCE)が可能になる。
この研究は Piotr Bazydlo によって Black Hat Europe 2025 で発表され、フレームワークによる SOAP クライアントプロキシおよび WSDL インポートの処理に根本的な設計上の欠陥があることを明らかにしている。
この脆弱性は、HttpWebClientProtocol クラスにおける不正なキャストに起因しており、SOAP プロキシメソッドに渡される URL を正しく検証できていない。
これにより、攻撃者はリクエストを HTTP エンドポイントではなくファイルシステムハンドラーへリダイレクトでき、任意ファイル書き込みおよびコード実行が可能となる。
Microsoft は基盤となるフレームワークの問題にパッチを適用することを拒否しており、複数回の報告にもかかわらず、この欠陥は残存している。
特定された脆弱な製品
この研究では、いくつかのエンタープライズソリューションに対する悪用が確認された。
Barracuda Service Center RMM(CVE-2025-34392)では、認証前の SOAP API メソッドが公開されており、未認証の攻撃者が任意の WSDL メソッドを呼び出して、認証情報なしで RCE を達成できる。
Ivanti Endpoint Manager(CVE-2025-13659)では、フォーム編集権限を持つユーザーに対して、認証後の悪用リスクが存在する。
その他の影響を受けるプラットフォームには、Umbraco 8 CMS、Microsoft PowerShell、SQL Server Integration Services などが含まれる。
この悪用は、WSDL 定義から SOAP クライアントプロキシを生成するために使用される標準 .NET Framework クラスである ServiceDescriptionImporter を利用している。
WatchTowr によると、研究者らは、悪意ある WSDL ファイルによって生成されるプロキシコードを完全に制御できることを実証した。これには、メソッド名、引数、ターゲット URL などが含まれる。
file:// プロトコルの URL を指定することで、攻撃者は SOAP リクエストをファイルシステムへ直接書き込ませ、事実上、任意ファイル書き込みプリミティブを作り出すことができる。
攻撃者は、XML シリアライゼーションや名前空間インジェクションなど複数の手法を用いて、ASPX ウェブシェルや CSHTML ペイロードを展開できる。
ServiceDescriptionImporter に URL スキーム検証が存在しないため、この悪用はフレームワークレベルで可能となり、それに依存するすべてのアプリケーションが影響を受ける。
Microsoft はこれをフレームワークの脆弱性として扱うことを拒否し、入力検証の責任はアプリケーション開発者にあるとした。
Barracuda はホットフィックス 2025.1.1 をリリースし、Ivanti やその他のベンダーも独自にパッチを展開した。
セキュリティチームは、影響を受けるアプライアンスのアップデートを優先し、WSDL を利用するアプリケーションについても同様のリスクがないか確認すべきである。
翻訳元: https://gbhackers.com/new-soapwn-net-flaws-expose-barracuda-ivanti/
