Apache Tomcat Vulnerability Exploited to Execute Malicious Arbitrary Code on Servers
2025/03/31 gbhackers — Apache Tomcat サーバに存在する、深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2025-24813 が積極的に悪用されている。この脆弱性の悪用に成功した攻撃者は、未認証の HTTP PUT リクエストを介して悪意のファイルをアップロードし、その後 GET リクエストでデシリアライゼーションをトリガーし、任意のコード実行を引き起こす可能性を手にする。
Apache Tomcat の深刻な RCE 脆弱性
この脆弱性の影響を受けるバージョンには、Tomcat 9.0.0-M1〜9.0.98/10.1.0-M1 〜 10.1.34/11.0.0-M1 〜 11.0.2 が含まれる。
すでに Apache は、パッチ・バージョン 9.0.99/10.1.35/11.0.3 をリリースしているが、情報の公開から 30 時間以内にエクスプロイトが開始され、PoC エクスプロイトも公開されている。
エクスプロイトと攻撃パターン
攻撃者たちは、partial PUT リクエストを悪用することで、シリアライズされたペイロードを、書き込み可能なディレクトリにアップロードする。多くの場合において、ファイルベースのセッション・パーシステンスがターゲットになっている。
ただし、このエクスプロイトを成功させる前提として、デフォルト・サーブレットの書き込み権限の有効化や、デシリアライズに脆弱なライブラリの悪用などの、デフォルト以外のコンフィグが必要となる。
GreyNoise の調査によると、ラトビア/イタリア/米国/中国などから発生する攻撃が観察され、その 70% が米国のシステムをターゲットにしているという。同社のレポートによると、そのペイロードは Base64 で難読化され、検出を回避するケースが多いようだ。
ユーザー組織にとって必要なことは、パッチ適用したバージョンへのアップグレード、もしくは、partial PUT サポートの無効化による書き込み権限の制限である。また、ログ内の予期しない JSP ファイルの存在や、PUT/GET リクエストの監視も推奨される。
Akamai や Cloudflare などのセキュリティ企業は、このエクスプロイトを実現するには、特定のサーバ・コンフィグが必要であるため、広範囲にわたる影響があるにしても、その被害は限定的であると指摘している。
ただし、エクスプロイトの容易さと、Tomcat の広範な利用を考慮すると、優先して対処すべき脅威となる。
情報公開からわずか30時間で実際の攻撃が確認されるという、非常に深刻な状況です。PoC エクスプロイトも公開されていますので、ご利用中のチームは、速やかにアップデート対応を行ってください。なお、この脆弱性 CVE-2025-24813 に関しては、これまでにも何度か取り上げています。よろしければ、以下の関連記事も、Apache で検索と併せてご利用下さい。
2025/03/21:脆弱性 CVE-2025-24813:検出された悪用と問題点
2025/03/17:脆弱性 CVE-2025-24813:戦術変更への備え
2025/03/10:Apache Tomcat の脆弱性 CVE-2025-24813 が FIX
IoT OT Security News 
You must be logged in to post a comment.