CVE-2025-55752 und CVE-2025-55754: Apache Tomcat-Schwachstellen setzen Server RCE-Angriffen aus

Analyse

Im März 2025 zeigte CVE-2025-24813, wie schnell eine Sicherheitslücke in Apache Tomcat ausgenutzt werden kann, wobei kurz nach der Bekanntgabe ein massenhafter Missbrauch beobachtet wurde. Die neu veröffentlichten CVE-2025-55752 und CVE-2025-55754 folgen dem gleichen Muster und setzen Tomcat-Server ungeschützt dem Risiko von Remote Code Execution (RCE) und Szenarien, in denen Administratoren überlistet werden, aus. Tomcat unterstützt hunderttausende Java-Webanwendungen weltweit, so dass Schwächen in dieser Ebene große Auswirkungen im Unternehmens- und Regierungsumfeld haben. CVE-2025-55752, als „wichtig“ eingestuft, ist eine Regression, die Directory Traversal durch umgeschriebene URLs ermöglicht und Zugriff auf normalerweise geschützte Pfade wie /WEB-INF/ und /META-INF/ erlaubt. Wenn HTTP PUT aktiviert ist, können Angreifer bösartige Dateien hochladen und auf RCE umsteigen. CVE-2025-55754, als „niedrig“ eingestuft, missbraucht ANSI-Escape-Sequenzen, die in Konsolenprotokolle injiziert werden und Chancen für Social Engineering schaffen, bei denen Administratoren dazu verleitet werden, von Angreifern kontrollierte Befehle auszuführen.

Untersuchung

Beide Schwachstellen betreffen Apache Tomcat 9, 10 und 11 (11.0.0-M1–11.0.10, 10.1.0-M1–10.1.44, 9.0.0-M11–9.0.108) sowie ausgewählte End-of-Life 8.5.x-Versionen (8.5.60–8.5.100). Sicherheitsteams sollten zuerst alle Tomcat-Instanzen inventarisieren, einschließlich veralteter und Schatten-IT, und jeden Server seiner genauen Version und Konfigurationsprofil zuordnen. Für CVE-2025-55752 müssen Ermittler URL-Muster auf Pfad-Traversierungsversuche in /WEB-INF/ oder /META-INF/ überprüfen, Zugriffsprotokolle auf ungewöhnliche PUT-Anfragen, unerwartete Uploads und neu erstellte Dateien inspizieren und diese mit legitimen APIs vergleichen, die PUT verwenden. Für CVE-2025-55754 konzentrieren Sie sich auf Server, die Tomcat in einer interaktiven Konsole betreiben, insbesondere auf Windows, auf der Suche nach ANSI-Escape-Sequenzen oder visuellen Protokollanomalien und rekonstruieren Sie Admin-Workflows (Zwischenablageverlauf, kopierte Befehle). Diese Arbeit sollte durch umfassendere Bedrohungsjagden und IOC-Überprüfungen in Webprotokollen und Endpoint-Telemetrie unterstützt werden.

Minderung

Wenn Sie vermuten, dass CVE-2025-55752 oder CVE-2025-55754 untersucht oder aktiv ausgenutzt wird:

1. Tomcat patchen: Aktualisieren Sie alle betroffenen Instanzen auf Apache Tomcat 11.0.11, 10.1.45 oder 9.0.109 (oder neuere, vom Anbieter unterstützte Versionen) und setzen Sie nicht unterstützte 8.5.x-Versionen außer Betrieb oder ersetzen Sie sie.
2. HTTP-Methoden härten: Deaktivieren Sie HTTP PUT, wo immer es nicht unbedingt erforderlich ist. Wenn PUT erforderlich ist, beschränken Sie es auf authentifizierte, gut definierte Endpunkte und erzwingen Sie strenge Dateisystemberechtigungen in Upload-Verzeichnissen.
3. Protokollierung und Konsolennutzung überprüfen: Lassen Sie produktive Tomcat-Installationen nicht im interaktiven Konsolenmodus laufen. Für Entwicklungs-/Testumgebungen, die dies tun, bereinigen Sie die Protokolleinstellungen und schulen Sie Administratoren über die Risiken von ANSI-Escape-Sequenzen und Copy-Paste-Angriffen.
4. Missbrauch überwachen: Implementieren Sie Warnungen für unerwartete Uploads, Konfigurationsänderungen und Anomalien in Anwendungsverzeichnissen und überwachen Sie Protokolle auf verdächtige oder fehlerhafte Anfragen an Kern-Tomcat-Pfade.

Führen Sie parallel kontinuierliche Scans auf verwundbare Tomcat-Einsätze durch und behandeln Sie RCE-Klasse Tomcat-Probleme als vorrangig im Schwachstellenmanagement.

Antwort

Wenn Sie vermuten, dass CVE-2025-55752 oder CVE-2025-55754 untersucht oder aktiv ausgenutzt wird:

• Betroffene Server isolieren und triagieren. Entfernen Sie vorübergehend exponierte Tomcat-Instanzen aus dem Internet oder beschränken Sie den Zugriff (z.B. nur VPN), während Sie ermitteln.
• Beweise sichern. Sammeln Sie Tomcat-Zugriffsprotokolle, Anwendungsprotokolle, Systemprotokolle, Konfigurations-Snapshots und Dateisystem-Metadaten für das Webroot und die Bereitstellungsverzeichnisse.
• Auf Persistenz und Web-Shells jagen. Suchen Sie nach unerwarteten JSPs, Skripten oder Binärdateien in /WEB-INF/, /META-INF/, Upload-Verzeichnissen und nahegelegenen Pfaden; vergleichen Sie diese mit als bekannt-gut geltenden Baselines.
• Admin-Aktionen überprüfen. Überprüfen Sie insbesondere bei CVE-2025-55754, ob Administratoren Befehle aus Konsolen kopiert und eingefügt haben, die ANSI-manipulierte Ausgaben enthalten könnten, und validieren Sie alle resultierenden Änderungen.
• Aus sauberen Quellen neu aufbauen. Wenn ein Kompromittieren nicht ausgeschlossen werden kann, stellen Sie Tomcat und Anwendungen aus vertrauenswürdigen Images neu bereit und wenden Sie gehärtete, vollständig gepatchte Konfigurationen erneut an.
• Erkennungsmuster und Schulungen aktualisieren. Fügen Sie CVE-2025-55752 / CVE-2025-55754 Exploit-Muster, verdächtige PUT-Verwendung und Escape-Sequenz-Anomalien zu SIEM und EDR hinzu und informieren Sie die Betriebsteams über sichere Konsolen- und Protokollierungspraktiken.