ASP.NET Core sotto attacco: Microsoft risolve la falla di sicurezza più grave di sempre

Lato server, ASP.NET Core funge da piattaforma di esecuzione e gestione delle richieste HTTP, elaborando le query dei client, servendo contenuti, gestendo autenticazione e sicurezza, interfacciandosi con database e altri servizi backend. Il suo server integrato predefinito si chiama Kestrel ed è ottimizzato per alte prestazioni e scalabilità, rendendolo una scelta centrale per applicazioni Web moderne e servizi cloud-based.

Durante il Patch Tuesday di ottobre 2025, Microsoft ha corretto una vulnerabilità di sicurezza in ASP.NET Core che ha ricevuto la valutazione di gravità più alta mai assegnata a un bug di questo tipo. La falla, identificata come CVE-2025-55315, rientra nella categoria degli attacchi di HTTP request smuggling.

La natura della grave vulnerabilità in ASP.NET Core

La vulnerabilità consente a un attaccante autenticato, sui sistemi sprovvisti della patch di sicurezza, di effettuare il cosiddetto smuggling delle richieste HTTP, ovvero l’invio di richieste malevoli mascherate da richieste legittime, con possibili conseguenze molto severe:

• Accesso a informazioni sensibili: l’attaccante potrebbe visualizzare credenziali di altri utenti o dati riservati (violazione della confidenzialità).
• Modifica dei dati: è possibile alterare file sul server, compromettendo l’integrità del sistema.
• Crash del server: in alcuni scenari, l’exploit può portare a un’interruzione del servizio.

Come spiegato da Barry Dorrans, .NET security technical program manager, l’impatto reale dipende dall’applicazione ASP.NET target.

Un’applicazione mal configurata potrebbe permettere l’acquisizione di privilegi più elevati, consentendo all’attaccante di autenticarsi come un altro utente; attacchi di tipo Server-Side Request Forgery (SSRF), tramite richieste interne malevole; bypass dei controlli CSRF (Cross-site request forgery); iniezioni e altri attacchi legati alla manipolazione delle richieste HTTP.

Dorrans sottolinea che, pur considerando lo scenario peggiore per il punteggio di gravità, la probabilità di un attacco riuscito dipende molto dal codice dell’applicazione. In ogni caso, è fondamentale aggiornare subito i propri server.

Misure di mitigazione e aggiornamento

Microsoft consiglia agli sviluppatori e agli amministratori di sistema di intervenire tempestivamente.

Per .NET 8 o versioni successive, è necessario provvedere all’installazione dell’aggiornamento tramite Windows Update, quindi riavviare il sistema. Per .NET 2.3 è essenziale aggiornare il pacchetto Microsoft.AspNet.Server.Kestrel.Core alla versione 2.3.6, ricompilare l’applicazione e ripubblicarla.

Nel caso delle applicazioni self-contained o single-file, i tecnici di Redmond esortano a installare l’aggiornamento, ricompilare e ridistribuire l’applicazione.

Certo è che per gli sviluppatori ASP.NET Core e per gli amministratori di server Web è richiesta un’azione immediata. L’esposizione di un componente software vulnerabile che può essere sfruttato da remoto può avere conseguenze nefaste. L’unico aspetto positivo è che al momento la falla di sicurezza non sembra essere sfruttata dai criminali informatici né esistono exploit conosciuti (che comunque potrebbero fare capolino in tempi brevi).