CVE-2025-55752 e CVE-2025-55754: Vulnerabilidades do Apache Tomcat Expõem Servidores a Ataques RCE

Análise

Em março de 2025, CVE-2025-24813 mostrou a rapidez com que uma falha no Apache Tomcat pode ser armada, com exploração em massa observada logo após a divulgação. Os recentemente divulgados CVE-2025-55752 e CVE-2025-55754 seguem o mesmo padrão, expondo servidores Tomcat a execução remota de código (RCE) e cenários de manipulação de administradores se não corrigidos. O Tomcat alimenta centenas de milhares de aplicações web Java em todo o mundo, por isso, fraquezas nesta camada têm impacto amplo em escala em ambientes empresariais e governamentais. CVE-2025-55752, classificado como “Importante”, é uma regressão que permite traversal de diretórios através de URLs reescritos, permitindo acesso a caminhos normalmente protegidos como /WEB-INF/ e /META-INF/. Se o PUT HTTP estiver habilitado, os atacantes podem fazer upload de arquivos maliciosos e pivotar para RCE. CVE-2025-55754, classificado como “Baixo”, abusa de sequências de escape ANSI injetadas em logs de console, criando oportunidades de engenharia social onde administradores são enganados a executar comandos controlados por atacantes.

Investigação

Ambas as vulnerabilidades afetam o Apache Tomcat 9, 10 e 11 (11.0.0-M1–11.0.10, 10.1.0-M1–10.1.44, 9.0.0-M11–9.0.108) além das compilações selecionadas do fim de vida 8.5.x (8.5.60–8.5.100). As equipes de segurança devem primeiro inventariar cada instância do Tomcat, incluindo TI legado e sombra, e mapear cada servidor para sua versão e perfil de configuração exatos. Para CVE-2025-55752, os investigadores precisam revisar padrões de URL para tentativas de traversal de caminho em /WEB-INF/ ou /META-INF/, inspecionar logs de acesso para solicitações HTTP PUT incomuns, uploads inesperados, e arquivos recém-criados, e compará-los com APIs legítimas que usam PUT. Para CVE-2025-55754, foco em servidores que executam Tomcat em um console interativo, especialmente em Windows, procurando por sequências de escape ANSI ou anomalias visuais de logs e reconstruindo fluxos de trabalho de administradores (histórico da área de transferência, comandos copiados). Este trabalho deve ser respaldado por buscas mais amplas de ameaças e varreduras de IOC por logs web e telemetria de endpoint.

Mitigação

Se suspeitar que CVE-2025-55752 ou CVE-2025-55754 está sendo sondado ou ativamente explorado:

1. Corrigir Tomcat: Atualize todas as instâncias afetadas para Apache Tomcat 11.0.11, 10.1.45, ou 9.0.109 (ou versões mais recentes com suporte do fornecedor), e desative ou substitua as compilações 8.5.x não suportadas.
2. Endurecer métodos HTTP: Desabilite HTTP PUT onde não for estritamente necessário. Se PUT for requerido, restrinja-o a pontos finais autenticados e bem definidos e aplique permissões rigorosas no sistema de arquivos nos diretórios de upload.
3. Revisar uso de logs e console: Não execute o Tomcat de produção em modo de console interativo. Para ambientes dev/test que o façam, sanitizar as configurações de logs e treinar administradores sobre o risco de sequências de escape ANSI e ataques de copiar e colar.
4. Monitorar abusos: Implemente alertas para uploads inesperados, mudanças de configuração, e anomalias em diretórios de aplicativos, e observe logs para solicitações suspeitas ou malformadas para caminhos principais do Tomcat.

Em paralelo, escaneie continuamente por implantações vulneráveis do Tomcat e trate problemas de classe RCE no Tomcat como de alta prioridade na gestão de vulnerabilidades.

Resposta

Se suspeitar que CVE-2025-55752 ou CVE-2025-55754 está sendo sondado ou ativamente explorado:

• Isole e priorize servidores afetados. Remova temporariamente instâncias expostas do Tomcat da internet ou restrinja o acesso (e.g., apenas VPN) enquanto investiga.
• Preservar evidências. Colete logs de acesso do Tomcat, logs de aplicativo, logs do sistema, snapshots de configuração, e metadados do sistema de arquivos para o webroot e diretórios de implantação.
• Procure por persistência e web shells. Procure por JSPs inesperados, scripts, ou binários em /WEB-INF/, /META-INF/, diretórios de upload, e caminhos próximos; compare com baselines conhecidos e bons.
• Revisar ações do administrador. Para CVE-2025-55754 em particular, verifique se os administradores copiaram comandos de consoles que podem ter contido saída manipulada via ANSI, e valide quaisquer mudanças resultantes.
• Reconstruir a partir de fontes limpas. Onde o compromisso não puder ser descartado, reimplante o Tomcat e os aplicativos a partir de imagens confiáveis e reaplique configurações endurecidas e totalmente corrigidas.
• Atualizar detecções e treinamento. Adicione padrões de exploração CVE-2025-55752 / CVE-2025-55754, uso suspeito de PUT, e anomalias de sequência de escape no SIEM e EDR, e brevemente informe as equipes de operações sobre práticas seguras de console e log.