CISA KEV 警告 25/04/01:Apache Tomcat の脆弱性 CVE-2025-24813 を登録

CISA Flags Apache Tomcat CVE-2025-24813 as Actively Exploited with 9.8 CVSS

2025/04/02 SecurityOnline — 現時点において積極的な悪用が観測されている、Apache Tomcat の深刻な脆弱性 CVE-2025-24813 (CVSS:9.8) が、CISA の KEV カタログに掲載された。このリモート・コード実行の脆弱性により、無数の Web サーバが危険に直面している状況にあり、また、公開されている PoC エクスプロイト・コードが、攻撃者たちにより武器化されている。

この脆弱性は、Apache Tomcat の以下のバージョンに影響を及ぼす:

  • 11.0.0-M1 〜 11.0.2
  • 10.1.0-M1 〜 10.1.34
  • 9.0.0.M1 〜 9.0.98

このバグは、2025年3月10日の時点で、Apache により公開されたものであり、Tomcat の partial PUT リクエストの処理におけるミスコンフィグと、危険なデフォルトの組み合わせに起因するものだ。特定の状況下では、認証を必要としない任意のコードのアップロードと実行を、攻撃者に許すものだと説明されている。

攻撃フローは以下のとおりである:

  1. 攻撃者は、base64 でエンコードされ、シリアライズされた、Java ペイロードを取り込む PUT リクエストを送信する。このペイロードは、Tomcat のセッション・ストレージに書き込まれる。
  2. 悪意のあるセッション・ファイルを指す JSESSIONID Cookie を取り込む、GET リクエストが送信される。
  3. Tomcat は、ファイル・ベースのセッション永続性を用いてファイルをデシリアライズし、リモート・コード実行をトリガーする。

このエクスプロイトは、ステルス性のものである。base64 エンコードによりペイロードが難読化されているため、特別な設定が行われていない限り、従来のセキュリティ・ツールの大半において、PUT リクエストは無害なものとして扱われる。最初にライブ・エクスプロイトを確認した Wallarm の研究者は、「この攻撃は、きわめて簡単に実行できるものである。デフォルトのサーバ設定により、数多くのデプロイメントが、すぐに脆弱になってしまう」と警告している

この脆弱性は、特定の欠陥に関するものではなく、リスクのパターンに関するものだという。 Wallarm は、「本当の懸念は、Tomcat の partial PUT ロジックの欠陥にあり、その対処を怠ると、広範な RCE 脆弱性につながる可能性がある」と指摘している。

ただし、この脆弱性は、普遍的に悪用できるものではない。その前提として、特定のコンフィグの組み合わせが必要になる:

  • 書き込み可能なデフォルト・サーブレット (readonly=”false”):この設定は、通常では無効化されているが、有効化されると悪用の可能性が広がる。
  • partial PUT サポート (デフォルトは有効化):悪用における重要な要素であり、セグメント化されたファイルのアップロードを可能にする。
  • パブリック・サブディレクトリ内の、セキュリティ上において重要なファイル:これらのファイル管理方法が不十分だと、リスクが高まる。
  • 既知のファイル名:攻撃者はターゲット・ファイル名を知っている必要がある。
  • partial PUT アップロード:一連のファイルは、partial PUT リクエストを介してアップロードされる必要がある。

すでに Apache は、以下の Tomcat 修正バージョンをリリースしている:

  • 11.0.3+
  • 10.1.35+
  • 9.0.99+

管理者たちに対して強く推奨されるのは、速やかなアップグレードである。なお、迅速なパッチ適用が不可能なユーザーのために、Apache は以下の緩和策を推奨している:

  • 不正アップロードを防止するために、デフォルトのサーブレットで readonly=”true” を設定する。
  • partial PUT のサポートを無効化する。
  • 公開アップロード・ディレクトリのサブディレクトリに、機密ファイルを保存しないようにする。

悪用の事例を確認した CISA は、すべての連邦民間行政機関 (FCEB) 機関に対して、2025年4月22日までにパッチを適用するよう指示している。

Apache Tomcat の脆弱性 CVE-2025-24813 が、CISA KEV に登録されました。この脆弱性は、情報公開から 30時間後に PoC エクスプロイトが確認されています。ご利用のチームは、十分にご注意ください。よろしければ、以下の関連記事も、Apache Tomcat で検索と併せてご参照ください。

2025/03/31:脆弱性 CVE-2025-24813:積極的な悪用と PoC 提供
2025/03/21:脆弱性 CVE-2025-24813:検出された悪用と問題点
2025/03/17:脆弱性 CVE-2025-24813:戦術変更への備え
2025/03/10:Apache Tomcat の脆弱性 CVE-2025-24813 が FIX