CVE-2025-55752 y CVE-2025-55754: Vulnerabilidades de Apache Tomcat Exponen Servidores a Ataques RCE

Análisis

En marzo de 2025, CVE-2025-24813 mostró la rapidez con la que una vulnerabilidad de Apache Tomcat puede ser utilizada, con una explotación masiva observada poco después de la divulgación. Las recién divulgadas CVE-2025-55752 y CVE-2025-55754 siguen el mismo patrón, exponiendo a los servidores Tomcat a la ejecución remota de código (RCE) y escenarios de engaño a administradores si no se aplican los parches. Tomcat impulsa cientos de miles de aplicaciones web Java en todo el mundo, por lo que las debilidades en esta capa tienen un impacto amplio a escala en entornos empresariales y gubernamentales. CVE-2025-55752, clasificado como ‘Importante’, es una regresión que permite la travesía de directorios a través de URLs reescritas, permitiendo el acceso a rutas normalmente protegidas como /WEB-INF/ y /META-INF/. Si HTTP PUT está habilitado, los atacantes pueden cargar archivos maliciosos y pivotar a RCE. CVE-2025-55754, clasificado como ‘Bajo’, abusa de secuencias de escape ANSI inyectadas en los registros de consola, creando oportunidades de ingeniería social donde se engaña a los administradores para ejecutar comandos controlados por los atacantes.

Investigación

Ambas vulnerabilidades afectan a Apache Tomcat 9, 10 y 11 (11.0.0-M1–11.0.10, 10.1.0-M1–10.1.44, 9.0.0-M11–9.0.108) más algunas versiones seleccionadas de fin de vida 8.5.x (8.5.60–8.5.100). Los equipos de seguridad deben primero inventariar cada instancia de Tomcat, incluidas las de TI heredadas y ocultas, y mapear cada servidor a su versión exacta y perfil de configuración. Para CVE-2025-55752, los investigadores deben revisar los patrones de URL en busca de intentos de travesía de rutas en /WEB-INF/ o /META-INF/, inspeccionar los registros de acceso para detectar solicitudes PUT inusuales, cargas inesperadas y archivos recién creados, y compararlos con las APIs legítimas que usan PUT. Para CVE-2025-55754, centrarse en los servidores que ejecutan Tomcat en una consola interactiva, especialmente en Windows, buscando secuencias de escape ANSI o anomalías visuales en los registros y reconstruyendo los flujos de trabajo de los administradores (historial del portapapeles, comandos copiados). Este trabajo debería estar respaldado por una caza de amenazas más amplia y barridos de IOC a través de registros web y telemetría de punto final.

Mitigación

Si sospecha que CVE-2025-55752 o CVE-2025-55754 están siendo explorados o explotados activamente:

1. Parchee Tomcat: Actualice todas las instancias afectadas a Apache Tomcat 11.0.11, 10.1.45 o 9.0.109 (o versiones más recientes compatibles con el proveedor), y descontinúe o reemplace las versiones no soportadas 8.5.x.
2. Refuerce los métodos HTTP: Desactive HTTP PUT donde no sea estrictamente necesario. Si se requiere PUT, restríngelo a puntos finales autenticados y bien definidos y aplique permisos estrictos del sistema de archivos en los directorios de carga.
3. Revise los registros y el uso de la consola: No ejecute Tomcat en producción en modo de consola interactiva. Para entornos de desarrollo/prueba que lo hagan, desinfecte la configuración de los registros y capacite a los administradores sobre el riesgo de secuencias de escape ANSI y ataques de copiar-pegar.
4. Monitoree el abuso: Implemente alertas para cargas inesperadas, cambios de configuración y anomalías en los directorios de aplicaciones, y vigile los registros en busca de solicitudes sospechosas o malformadas a las rutas centrales de Tomcat.

Paralelamente, escanee continuamente en busca de implementaciones vulnerables de Tomcat y trate los problemas de clase RCE de Tomcat como de alta prioridad en la gestión de vulnerabilidades.

Respuesta

Si sospecha que CVE-2025-55752 o CVE-2025-55754 están siendo explorados o explotados activamente:

• Aísle y clasifique los servidores afectados. Retire temporalmente las instancias de Tomcat expuestas de Internet o restringe el acceso (p. ej., solo VPN) mientras investiga.
• Preserve evidencia. Recoja registros de acceso de Tomcat, registros de aplicaciones, registros del sistema, instantáneas de configuración y metadatos del sistema de archivos para el directorio raíz web y directorios de implementación.
• Busque persistencia y shells web. Busque JSPs inesperados, scripts o binarios en /WEB-INF/, /META-INF/, directorios de carga y rutas cercanas; compare contra baselines conocidos.
• Revise acciones del administrador. Para CVE-2025-55754 en particular, verifique si los administradores copiaron y pegaron comandos de las consolas que pudieron haber contenido salida manipulada por ANSI, y valide cualquier cambio resultante.
• Reconstruya desde fuentes limpias. Donde no se pueda descartar el compromiso, vuelva a desplegar Tomcat y las aplicaciones desde imágenes confiables y vuelva a aplicar configuraciones endurecidas y completamente parcheadas.
• Actualice las detecciones y capacitación. Agregue patrones de explotación CVE-2025-55752 / CVE-2025-55754, uso sospechoso de PUT y anomalías de secuencias de escape a SIEM y EDR, y brinde instrucciones a los equipos de operaciones sobre prácticas seguras de consola y registro.