Tomcat

CVE-2025-24813として追跡されているApache Tomcatの重大なリモート・コード実行(RCE)の脆弱性が野生で活発に悪用されており、攻撃者は単純なPUTリクエストでサーバーを乗っ取ることができる。

ハッカーたちは、先週この欠陥が公表されてからわずか30時間後にGitHubで公開された概念実証(PoC)エクスプロイトを活用していると報告されている。

この悪質な行為はWallarmのセキュリティ研究者によって確認され、PUTリクエストは正常に見え、悪意のあるコンテンツはbase64エンコーディングを使って難読化されているため、従来のセキュリティ・ツールでは検知できないと警告している。

具体的には、攻撃者はTomcatのセッション・ストレージに保存された、base64エンコードされたシリアライズされたJavaペイロードを含むPUTリクエストを送信する。

次に攻撃者は、アップロードされたセッション・ファイルを指すJSESSIONIDクッキーでGETリクエストを送信し、Tomcatに悪意のあるJavaコードをデシリアライズして実行させ、攻撃者に完全な制御を許可する。

この攻撃は認証を必要とせず、Tomcatが部分的なPUTリクエストとデフォルトのセッション永続化を受け入れることによって引き起こされる。

「この攻撃は実行が非常に簡単で、認証を必要としません」とWallarm氏は説明する

「唯一の要件は、Tomcatがファイルベースのセッション・ストレージを使用していることです。さらに悪いことに、base64エンコーディングによって、この攻撃は従来のセキュリティ・フィルターのほとんどをバイパスすることができ、検出が困難になっている。

TomcatのRCE

CVE-2025-24813のリモートコード実行脆弱性の欠陥は、2025年月曜日10日にApacheによって最初に開示され、Apache Tomcat 11.0.0-M1から11.0.2、10.1.0-M1から10.1.34、および9.0.0.M1から9.0.98に影響を与える。

このセキュリティ情報では、特定の条件下で、攻撃者がセキュリティ上重要なファイル上で任意のコンテンツを閲覧または注入する可能性があることをユーザーに警告している。

その条件は以下の通り:

  • デフォルトのサーブレットで書き込みが有効になっている (readonly= “false”) – (デフォルトでは無効)
  • 部分的な PUT のサポートが有効になっている(デフォルトでは有効。)
  • セキュリティに敏感なアップロードは、公開アップロードディレクトリのサブディレクトリで発生する。
  • 攻撃者は、アップロードされるセキュリティ上重要なファイルの名前を知っている。
  • これらのセキュリティ上重要なファイルは、部分的な PUT を使用してアップロードされます。

Apacheは、すべてのユーザに対して、CVE-2025-24813に対するパッチを適用したTomcatのバージョン11.0.3+、10.1.35+、または9.0.99+にアップグレードすることを推奨しています。

Tomcatユーザは、デフォルトのサーブレット設定(readonly= “true”)に戻し、部分的なPUTサポートをオフにし、公開アップロードパスのサブディレクトリにセキュリティ上重要なファイルを保存しないようにすることで、この問題を軽減することもできる。

Wallarm氏は、今回のケースで浮き彫りになったより大きな問題は、悪用活動そのものではなく、Tomcatの部分的なPUT処理から生じる、より多くのRCE脆弱性の可能性であると警告している。

「攻撃者はすぐに戦術を変え始め、悪意のあるJSPファイルをアップロードし、設定を変更し、セッションストレージの外部にバックドアを仕掛けるだろう。これは最初の波に過ぎません」とWallarm氏は警告している。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .


Red Report 2025

攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10

1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%の背後にあるトップ10のMITRE ATT&CKテクニックとその防御方法をご覧ください。