NetBak PC Agent に影響：ASP.NET Core の脆弱性 CVE-2025-55315 とセキュリティ保護回避

Critical QNAP .NET Flaw Lets Attackers Bypass Security Protections

2025/10/28 gbhackers — Microsoft ASP.NET Core に存在する深刻なセキュリティ脆弱性 CVE-2025-55315 により、QNAP の NetBak PC Agent ソフトウェアに影響が生じることが確認された。この脆弱性を悪用する攻撃者は、HTTP Request Smuggling を介して重要なセキュリティ制御を回避し、このバックアップに依存する数千のシステムを、不正アクセスやデータ操作の危険にさらす可能性がある。

ASP.NET Core の HTTP リクエスト処理の脆弱性を悪用する認証済みの攻撃者は、特別に構成したリクエストを送信することで、Web サーバのセキュリティ処理を混乱させることが可能になる。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステムに保存されている機密データへのアクセス／重要なサーバ・ファイルの改竄／限定的なサービス拒否 (DoS) 状態などを引き起こし、QNAP のバックアップ環境に被害をもたらす。

Attribute	Details
CVE ID	CVE-2025-55315
Vulnerability Type	HTTP Request Smuggling (CWE-444)
Affected Component	Microsoft ASP.NET Core
CVSS Score	8.1 (high)

NetBak PC Agent に依存してデータ保護を行う組織にとって、ASP.NET Core の脆弱性 CVE-2025-55315 は、バックアップの整合性およびシステム・セキュリティに対する直接的な脅威となる。

脆弱性の概要

NetBak PC Agent は、自身のインストール時および実行時において Microsoft ASP.NET Core に依存している。このバックアップ・ソリューションを実行する Windows システムに対して適切なパッチが適用されていないと、脆弱な ASP.NET Core コンポーネントを実行してしまう可能性がある。

HTTP リクエスト・スマグリングの手法とは、異なるシステム・コンポーネント間に存在する HTTP メッセージ解釈の方法の不一致を悪用するものであり、攻撃者による武器化が可能な状況を作り出す。過去の事例を踏まえると、企業インフラや機密データ・リポジトリを標的とした高度な攻撃で、この種の脆弱性は悪用されてきた。

この脆弱性 CVE-2025-55315 の悪用には、その前提として認証が必要となるため、攻撃者は何らかのシステム・アクセス権や認証情報を保有している必要がある。

しかし、悪意のインサイダーや侵害済みアカウントの悪用は、多くの組織における現実的な攻撃シナリオである。したがって、認証済みの攻撃者が事前に足場を築いていれば、この脆弱性は横方向移動 (ラテラル・ムーブメント) や権限昇格のための強力な手段になる。

QNAP は緊急勧告を発表し、すべての NetBak PC Agent ユーザーに対し、ASP.NET Core ランタイムを直ちに更新するよう求めている。このバックアップ・インフラの悪用を阻止するためには、Windows システムに最新の Microsoft ASP.NET Core 更新プログラムを適用することが不可欠だと、同社は強調している。

対応策

この脆弱性に対処するユーザーは、主に２つの方法を選択できる。

１つ目の方法は、NetBak PC Agent の完全な再インストールである。ユーザーは “設定” に移動し、インストール済みアプリの一覧から実行中のアプリケーションを選択して、完全にアンインストールする必要がある。

その後に、QNAP の公式ユーティリティ・ページから最新バージョンをダウンロードし、ソフトウェアを再インストールすると、必要なセキュリティ・パッチが適用された最新の ASP.NET Core ランタイム・コンポーネントが自動的に展開される。

再インストールを希望しないユーザーに対しては、ASP.NET Core を手動で更新するという代替策がある。この方法では、Microsoft の公式 .NET 8.0 ダウンロード・ページから、最新の ASP.NET Core ランタイム・ホスティング・バンドルを取得する必要がある。

なお、2025年10月時点での最新バージョンは 8.0.21 である。インストール後に、システム管理者にとって必要なことは、アプリケーションまたはシステムを再起動し、更新されたコンポーネントの初期化を確認することである。

セキュリティ専門家が推奨するのは、組織全体に更新プログラムを展開する前に、管理された環境でテストすることだ。

また、インフラ全体でのセキュリティ態勢の不一致を防ぐために、すべての NetBak PC Agent のインスタンスが必要とする、更新プログラムの適用を確認する必要がある。

脆弱性 CVE-2025-55315 の発見が強調するのは、特に重要なバックアップ操作を扱うソフトウェアの依存関係において、最新のパッチレベルを維持することの重要性である。さらに、定期的な脆弱性スキャンや自動化されたパッチ管理システムを活用することで、攻撃者に先行して同様のリスクを特定できる。

この脆弱性がバックアップ・システムおよびデータ・セキュリティに及ぼす潜在的な影響を考慮すると、すべてのユーザーにとってパッチの優先的な適用が必要となる。

ASP.NET Core の脆弱性により、HTTP リクエスト処理の不一致が発生しています。異なるコンポーネント間でリクエストの解釈方法がずれることにより、HTTP Request Smuggling (リクエスト密輸) と呼ばれる攻撃が可能になります。その結果として、通常のセキュリティ制御の回避が生じ、機密データやバックアップ・ファイルへの不正アクセスが発生してしまうおそれがあります。QNAP の NetBak PC Agent が、この脆弱な仕組みに依存していたことで影響が拡大していると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、QNAP で検索を、ご参照ください。