Apache Tomcat の脆弱性 CVE-2025-24813 の積極的な悪用:対策の全容と戦術変更への備え

Critical RCE flaw in Apache Tomcat actively exploited in attacks

2025/03/17 BleepingComputer — Apache Tomcat の深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2025-24813 が、実際に攻撃で積極的に悪用されている。この欠陥を突く脅威アクターは、単純な PUT リクエストの送信により標的のサーバを乗っ取ることができるという。この脆弱性が明らかになったのは先週のことだが、それから僅か 30時間後には、GitHub で公開された PoC エクスプロイトが、ハッカーたちに悪用され始めたようだ。

この悪意のアクティビティは、Wallarm のセキュリティ研究者たちにより確認されたものだ。PUT リクエストは正常に見えるものであり、また、悪意のコンテンツは base64 エンコードで難読化されているため、従来のセキュリティ・ツールでは検出が不可能だと警告されている。

具体的に言うと、脅威アクターにより送信される PUT リクエストは、Tomcat のセッション・ストレージに保存され、base64 エンコードされた、シリアライズされた Java ペイロードを取り込んでいる。

続いて脅威アクターは、アップロードされたセッション・ファイルを指す、JSESSIONID クッキーを取り込んだ GET リクエストを送信し、悪意の Java コードのデシリアライズと実行を Tomcat に強制することで、完全な制御権を自身に付与する。

この攻撃は、認証を必要としない。つまり、 Tomcat が partial PUT リクエストとデフォルトのセッション持続性を受け入れることで発生するものだ。

Wallarm は、「この攻撃の実行は、きわめてシンプルであり、認証も不要である。唯一の要件は、Tomcat がファイル・ベースのセッション・ストレージを使用していることだ。この方式は、多くのデプロイメントで多用されている。さらに悪いことに、base64 エンコードにより、このエクスプロイトは、従来からの大半のセキュリティ・フィルターを回避できるため、検出が困難になる」と指摘している

Tomcat RCE

このリモート・コード実行の脆弱性 CVE-2025-24813 は、2025年3月10日 (月) に Apache から公開され、以下のように影響の範囲は報告されていた:

  • 11.0.0-M1 ~ 11.0.2
  • 10.1.0-M1 ~ 10.1.34
  • 9.0.0.M1 ~ 9.0.98

Apache がセキュリティ速報でユーザーに警告していたのは、特定の条件下においては、セキュリティ上重要なファイルに対して、攻撃者による任意のコンテンツの表示/挿入が可能になるという点だ。

その条件は、以下のとおりである:

  • デフォルト・サーブレットの書き込みが有効化 (readonly= “false”) されている (デフォルトでは無効)。
  • partial PUT のサポートが有効化されている (デフォルトでは有効)。
  • セキュリティにおける重要なアップロードが、パブリック・アップロード・ディレクトリのサブディレクトリで行われている。
  • アップロードされる、セキュリティ上の重要なファイルの名前を攻撃者が知っている。
  • それらのセキュリティにおける重要なファイルが、partial PUT を介してアップロードされている。

すべてのユーザーに対して Apache が強く推奨するのは、脆弱性 CVE-2025-24813 に対するパッチが適用された Tomcat バージョン 11.0.3+/10.1.35+/9.0.99+ へと、速やかにアップグレードすることだ。

なお、Tomcat ユーザーは、デフォルトのサーブレット・コンフィグ (readonly= “true”) へと戻し、partial PUT サポートを OFF にして、セキュリティにおいて重要なファイルに関しては、パブリック・アップロード・パスのサブディレクトリに保存しなことで、この問題を軽減できる。

Wallarm が警告するのは、このケースで強調される大きな問題は、エクスプロイト活動自体ではなく、Tomcat の partial PUT 処理から生じる、RCE の可能性にある点だ。

Wallarm は、「攻撃者は、ごく短期間で戦術を変えてくるだろう。悪意のある JSP ファイルをアップロードし、コンフィグを変更し、セッション・ストレージの外部にバックドアを仕掛けるようになるはずだ。現状で判明しているものは、最初の波にすぎない」と警告している。

Apache Tomcat の脆弱性の悪用が観測されましたが、PoC 公開の 30時間後から悪用が開始されていたという状況です。文中にもある通り、この脆弱性は、認証なしで悪用できてしまう上に、エクスプロイトの検出も困難であるという、やっかいなものです。ご利用のチームは、アップデートを、お急ぎください。この脆弱性の第一報である 2025/03/10Apache Tomcat の脆弱性 CVE-2025-24813 が FIX:RCE/情報漏洩/データ破損などの恐れ」も、よろしければ、Apache Tomcat で検索と併せてご参照下さい。