CVE-2025-55752 e CVE-2025-55754: Le Vulnerabilità di Apache Tomcat Espongono i Server ad Attacchi RCE

Analisi

A marzo 2025, CVE-2025-24813 ha mostrato quanto rapidamente una falla in Apache Tomcat possa essere sfruttata, con un massiccio sfruttamento osservato poco dopo la divulgazione. I nuovi CVE-2025-55752 e CVE-2025-55754 seguono lo stesso schema, esponendo i server Tomcat a esecuzione di codice remoto (RCE) e scenari di inganno degli amministratori se non corretti. Tomcat alimenta centinaia di migliaia di applicazioni web Java in tutto il mondo, quindi le debolezze in questo strato hanno un ampio impatto su larga scala negli ambienti aziendali e governativi. CVE-2025-55752, valutato come ‘Importante’, è una regressione che consente la traversal directory tramite URL riscritti, permettendo l’accesso a percorsi normalmente protetti come /WEB-INF/ e /META-INF/. Se HTTP PUT è abilitato, gli aggressori possono caricare file dannosi e passare a RCE. CVE-2025-55754, valutato come ‘Basso’, sfrutta le sequenze di escape ANSI iniettate nei log della console, creando opportunità di ingegneria sociale in cui gli amministratori vengono ingannati a eseguire comandi controllati dagli attaccanti.

Indagine

Entrambe le vulnerabilità influiscono su Apache Tomcat 9, 10 e 11 (11.0.0-M1–11.0.10, 10.1.0-M1–10.1.44, 9.0.0-M11–9.0.108) oltre a determinate build 8.5.x a fine vita (8.5.60–8.5.100). I team di sicurezza dovrebbero prima inventariare ogni istanza di Tomcat, inclusi IT legacy e ombra, e mappare ogni server alla sua versione e profilo di configurazione esatti. Per CVE-2025-55752, gli investigatori devono rivedere i modelli di URL per tentativi di traversal di percorso verso /WEB-INF/ o /META-INF/, ispezionare i log di accesso per richieste PUT insolite, upload non previsti e file recentemente creati, e confrontarli con le API legittime che utilizzano PUT. Per CVE-2025-55754, concentrare l’attenzione sui server che eseguono Tomcat in una console interattiva, in particolare su Windows, cercando sequenze di escape ANSI o anomalie visive nei log e ricostruendo i flussi di lavoro degli amministratori (storico degli appunti, comandi copiati). Questo lavoro dovrebbe essere supportato da una caccia alle minacce più ampia e da scansioni IOC su log web e telemetria degli endpoint.

Mitigazione

Se sospetti che CVE-2025-55752 o CVE-2025-55754 siano oggetto di indagine o sfruttati attivamente:

1. Patchare Tomcat: Aggiorna tutte le istanze interessate ad Apache Tomcat 11.0.11, 10.1.45 o 9.0.109 (o versioni supportate dal fornitore più recenti) e decommissionare o sostituire le build 8.5.x non supportate.
2. Rafforzare i metodi HTTP: Disabilitare HTTP PUT ovunque non sia strettamente necessario. Se PUT è richiesto, limitarlo a endpoint autenticati e ben definiti e applicare strette autorizzazioni sul file system nelle directory di upload.
3. Rivedere log e uso della console: Non eseguire Tomcat di produzione in modalità console interattiva. Per ambienti di sviluppo/test che lo fanno, sanificare le impostazioni di logging e formare gli amministratori sui rischi di sequenze di escape ANSI e attacchi di copiatura e incollaggio.
4. Monitorare abusi: Implementare avvisi per upload non previsti, modifiche di configurazione e anomalie nelle directory delle applicazioni, e monitorare i log per richieste sospette o malformate ai percorsi chiave di Tomcat.

In parallelo, eseguire scansioni continue per le distribuzioni di Tomcat vulnerabili e trattare i problemi di classe RCE di Tomcat come ad alta priorità nella gestione delle vulnerabilità.

Risposta

Se sospetti che CVE-2025-55752 o CVE-2025-55754 siano oggetto di indagine o sfruttati attivamente:

• Isolare e gestire i server colpiti. Rimuovere temporaneamente le istanze di Tomcat esposte da Internet o limitare l’accesso (es. solo VPN) mentre si indaga.
• Preservare le prove. Raccogliere i log di accesso di Tomcat, i log delle applicazioni, i log di sistema, le istantanee di configurazione e i metadati del filesystem per la radice web e le directory di distribuzione.
• Cacciare persistenze e web shells. Cercare JSP, script o binari inattesi in /WEB-INF/, /META-INF/, directory di upload e percorsi vicini; confrontare con baseline conosciute.
• Rivedere le azioni degli amministratori. Per CVE-2025-55754 in particolare, verificare se gli amministratori hanno copiato-incollato comandi da console che potrebbero aver contenuto output manipolato da ANSI, e convalidare eventuali modifiche risultanti.
• Ricostruire da fonti pulite. Dove non è possibile escludere il compromesso, ridistribuire Tomcat e le applicazioni da immagini fidate e riapplicare configurazioni indurite e completamente corrette.
• Aggiornare rilevamenti e formazione. Aggiungere modelli di sfruttamento CVE-2025-55752 / CVE-2025-55754, uso sospetto di PUT e anomalie di sequenze di escape a SIEM e EDR, e informare i team operativi sulle pratiche sicure per console e logging.