Microsoftin ASP.NET Core -haavoittuvuus sai poikkeuksellisen korkean 9.9/10 vakavuusluokituksen (CVE-2025-55315)
Microsoft on paljastanut ja korjannut kriittisen haavoittuvuuden ASP.NET Core -alustassaan, jolle on annettu poikkeuksellisen korkea 9.9/10 vakavuusluokitus. Haavoittuvuus mahdollistaa HTTP-pyyntöjen “salakuljetuksen” palvelimelle, mikä voi pahimmillaan kiertää turvajärjestelmiä. Tavalliselle tietokoneen käyttäjälle suora riski on vähäinen, mutta verkkopalveluiden ylläpitäjille kyseessä on vakava päivitystarve.
Taustaa: ennätyskorkea CVSS 9.9 -haavoittuvuus
Haavoittuvuus tunnisteella CVE-2025-55315 löytyy Microsoftin ASP.NET Core -verkkosovellusalustan Kestrel-palvelimesta. CVSS-turvaluokitukseksi on annettu 9.9/10, mikä on lähes maksimi ja Microsoftin ASP.NET Core -historian korkeimpia arvioita. Luokitus viestii erittäin vakavasta aukosta. Microsoftin tietoturva-asiantuntijat selittävät, että näin korkea pistemäärä johtuu pahimman mahdollisen skenaarion arvioinnista – eli siitä, mitä hyökkääjä voisi tehdä, jos kaikki mahdolliset suojaukset pettävät.
Haavoittuvuuden taustalla on HTTP-tekniikkaan liittyvä ongelma, niin kutsuttu HTTP Request Smuggling. Käytännössä hyökkääjä voi piilottaa toisen, haitallisen HTTP-pyynnön tavallisen pyynnön sisään. Jos haavoittuva palvelin tulkitsee pyynnöt epäjohdonmukaisesti, piilotettu pyyntö voi läpäistä tarkistukset. Microsoft julkaisi haavoittuvuudesta virallisen tiedotteen 14.10.2025 illalla (Euroopan/Helsingin aikaa), ja korjauspäivitys tuli jakeluun samana päivänä.
Mitä haavoittuvuus mahdollistaa?
HTTP-pyyntöjen salakuljetuksen avulla hyökkääjä voi kiertää normaaleja turvallisuustoimia palvelimella. Microsoftin tietoturvaohjelmistopäällikkö Barry Dorrans kuvaa, että hyökkääjä voi esimerkiksi suorittaa toimenpiteitä, jotka normaalisti vaatisivat kirjautumista korkeammilla oikeuksilla. Mahdollisia seurauksia ovat mm. toisen käyttäjän tunnuksilla sisään kirjautuminen, sivustojen CSRF-turvamekanismien ohittaminen sekä erilaisten haitallisten syötteiden ujuttaminen järjestelmään. Lisäksi Microsoftin mukaan hyökkääjä voisi nähdä arkaluontoisia tietoja (kuten käyttäjien tunnistetietoja), muokata tiedostoja palvelimella tai jopa aiheuttaa palvelimen kaatumisen.
On tärkeää huomata, että haavoittuvuuden todellinen vaikutus riippuu paljon sovelluksesta itsestään. Dorrans korostaa, että pahimmat skenaariot toteutuvat vain, jos sovelluskoodi on jättänyt kriittisiä tarkistuksia tekemättä. Jos verkkosovellus käsittelee http-pyyntöjä huolellisesti (esimerkiksi varmistaa jokaisen pyynnön oikeellisuuden useissa kerroksissa), hyökkääjän mahdollisuudet onnistua pienenevät. Toisaalta, jos jokin sovelluksen osa luottaa oletusarvoisesti yhden pyynnön aitouteen, piilotettu toinen pyyntö saattaa päästä läpi ja aiheuttaa tuhoa.
Microsoft päätyi antamaan lähes maksimi CVSS-pisteet, koska he arvioivat teoriassa mahdollisen vahingon laajuutta: haavoittuvuuden kautta voidaan periaatteessa ohittaa keskeinen turvaominaisuus tavalla, joka laajentaa hyökkäyksen vaikutusalaa sovelluksen sisällä. Vaikka jokainen ASP.NET Core -sovellus ei olisikaan yhtä haavoittuvainen käytännössä, pisteluku 9.9 toimii signaalina siitä, että päivitys on asetettava etusijalle kaikissa ympäristöissä.
Ketkä ovat vaarassa?
Haavoittuvuus koskee käytännössä kaikkia tuettuja ASP.NET Core -versioita – mukaan lukien versiot 8, 9 sekä tuleva versio 10 (julkaisukandidaatti), ja jopa vanhempi ASP.NET Core 2.3 (joka toimii .NET Frameworkin päällä). Tämä tarkoittaa, että hyvin monen organisaation web-sovellukset ja -palvelut voivat olla vaarassa, ellei päivityksiä tehdä pikaisesti. Microsoft ei löytänyt mitään helppoa kiertotapaa tai lieventävää tekijää: ainoa suoja on ohjelmiston päivittäminen.
Tavalliselle kotikäyttäjälle CVE-2025-55315 ei aiheuta suoraa uhkaa omalla tietokoneella. Kyseinen haavoittuvuus vaikuttaa nimenomaan verkkopalvelimissa pyöriviin ASP.NET Core -sovelluksiin, ei käyttäjän omiin ohjelmiin. Toisin sanoen, jos käytät Windows-tietokonetta etkä itse ylläpidä ASP.NET Core -palvelinta, sinun ei tarvitse pelätä että oma koneesi murrettaisiin tällä keinolla. Windows Update -päivitykset toki kannattaa aina huolehtia ajantasalle, mutta CVE-2025-55315 iskee palvelinpuolen ohjelmistoon.
Välillisesti vaikutukset voivat silti ulottua tavallisiin käyttäjiin: jos jokin käyttämäsi verkkosivusto tai palvelu on rakennettu ASP.NET Core -teknologialla eikä sitä päivitetä, hyökkääjät voisivat mahdollisesti hyödyntää haavoittuvuutta kyseisen palvelun murtautumiseen. Tällöin vaarassa olisivat esimerkiksi sivuston käyttäjätunnukset, salasanat tai muut tiedot kyseisellä palvelimella. Siksi on tärkeää, että kaikki organisaatiot ja kehittäjät, joiden palvelut nojautuvat ASP.NET Coreen, asentavat päivitykset viipymättä.
Microsoftin korjaus ja suositukset
Microsoft julkaisi korjaavat päivitykset haavoittuvuuden julkaisun yhteydessä 14.10.2025. Korjattuina versioina on saatavilla uudet päivitykset ASP.NET Core 8:aan, 9:ään sekä .NET 10 -alustan seuraavaan julkaisukandidaattiin. Kehittäjiä ja järjestelmänvalvojia kehotetaan päivittämään .NET Runtime ja SDK uusimpiin versioihin (esimerkiksi .NET 8.0.21 tai .NET 9.0.10) tai päivittämään tarvittaessa Kestrel-palvelinkomponentti erikseen versioon 2.3.6 (jos käytössä on ASP.NET Core 2.x). Myös sovelluskehitystyökalu Visual Studio 2022 on saanut päivityksiä tapauksen johdosta, joten kehittäjien tulisi varmistaa senkin ajan tasaisuus.
Microsoft huomauttaa, että päivityksen asennustapa vaihtelee käyttötavasta riippuen. Jos ASP.NET Core -sovellus on asennettu palvelimen globaaliin .NET-ympäristöön (framework-dependent deployment), tulee palvelimen .NET Runtime päivittää. Jos taas sovellus on jaettu itsenäisenä pakettina (self-contained deployment), täytyy jokainen sovelluspaketti uudelleenkääntää ja julkaista uudelleen korjatulla versiolla. Käytännössä tämä voi tarkoittaa ylimääräistä työtä ylläpidolle, mutta on välttämätöntä haavoittuvuuden poistamiseksi.
Microsoftin virallisessa raportissa todetaan, että toistaiseksi ei ole tietoa haavoittuvuuden aktiivisesta hyödyntämisestä hyökkäyksissä. Tämä antaa hieman hengähdysaikaa ylläpitäjille, mutta ei poista päivityksen kiireellisyyttä. Tietoturva-asiantuntijat varoittavat, että kun haavoittuvuus on nyt julkinen, hyökkääjät voivat alkaa kehittää sitä hyödyntäviä keinoja. Paras toimintatapa onkin asentaa päivitykset heti, ennen kuin mahdolliset hyökkäykset yleistyvät.
Mikä on haavoittuvuuden merkitys tavalliselle käyttäjälle?
Vaikka CVE-2025-55315 on teknisesti erittäin vakava ja saanut harvinaisen korkean vakavuusluokituksen, sen vaikutus kohdistuu enimmäkseen palvelinympäristöihin. Normaalin tietokoneen käyttäjän ei tarvitse pelätä oman laitteen puolesta tämän haavoittuvuuden osalta, koska hyökkäys ei kohdistu kotikoneen Windowsiin tai selaimeen, vaan taustalla pyöriviin palvelinsovelluksiin. Toisin kuin esimerkiksi kiristyshaittaohjelmat tai selaimen tietoturva-aukot, tämä haavoittuvuus ei tartu käyttäjän koneeseen internetistä.
Tavallisen käyttäjän näkökulmasta tärkeintä on, että verkkopalveluiden tarjoajat hoitavat päivitykset kuntoon. Jos käytät vaikkapa kryptovaluutta-pörssiä tai muuta palvelua, joka sattuu pyörimään Microsoftin ASP.NET Core -alustalla, palveluntarjoajan vastuulla on nyt varmistaa, ettei heidän järjestelmänsä ole haavoittuvainen. Hyvä uutinen on, että Microsoft on tuonut korjauksen nopeasti saataville ja tiedottanut asiasta laajasti – näin ollen valveutuneet palvelinten ylläpitäjät ovat todennäköisesti reagoineet heti.
Lähteet:
- Microsoft Security Response Center – .NET Security Advisory CVE-2025-55315 – 14.10.2025, klo 20.00 – https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55315
Vastuuvapauslauseke: Tämä artikkeli on tarkoitettu vain tiedotustarkoituksiin. Sitä ei tarjota tai ole tarkoitettu käytettäväksi oikeudellisena, verotuksellisena, sijoitus-, rahoitus- tai muuna neuvona.
Kryptouutiset.net ei vastaa kaupallisen tiedotteen sisällöstä.
Coinmotion kutsukoodi on qayp1ovzrbk5r1kep1lk jolla saat -50% kaupankäyntikuluista 1kk ajaksi
){kind=link}