CVE-2025-55752およびCVE-2025-55754：Apache Tomcatの脆弱性がサーバーをRCE攻撃にさらす

分析

2025年3月、CVE-2025-24813は、Apache Tomcatの脆弱性がどれほど迅速に武器化されるかを示しました。公開直後に大量の悪用が観察されました。新たに公開されたCVE-2025-55752およびCVE-2025-55754は、同様のパターンに従い、パッチが適用されない場合、Tomcatサーバーをリモートコード実行（RCE）および管理者を欺くシナリオにさらします。Tomcatは世界中で数十万のJavaウェブアプリケーションを支えているため、このレイヤーでの脆弱性は企業および政府環境において広範な影響を及ぼします。CVE-2025-55752は「重要」と評価され、書き換えられたURLを通じてディレクトリトラバーサルを可能にし、/WEB-INF/や/META-INF/など通常は保護されているパスへのアクセスを許可します。HTTP PUTが有効になっている場合、攻撃者は悪意のあるファイルをアップロードし、RCEへと移行することができます。CVE-2025-55754は「低評価」とされ、コンソールログに注入されたANSIエスケープシーケンスを悪用し、管理者が攻撃者によって制御されたコマンドを実行するように欺く社会工学の機会を作成します。

調査

両方の脆弱性は、Apache Tomcat 9、10、および11（11.0.0-M1–11.0.10、10.1.0-M1–10.1.44、9.0.0-M11–9.0.108）に加えて、選択されたサポート終了の8.5.xビルド（8.5.60–8.5.100）にも影響します。セキュリティチームはまず、遺産ITや影のITを含むすべてのTomcatインスタンスをインベントリ化し、各サーバーをその正確なバージョンと設定プロファイルにマッピングする必要があります。CVE-2025-55752に対して、調査員は/WEB-INF/または/META-INF/へのパストラバーサルの試みを求めてURLパターンを確認し、アクセスログを確認して、異常なPUT要求、意外なアップロード、新しく作成されたファイルを調査し、それらをPUTを使用する正規のAPIと比較する必要があります。CVE-2025-55754の場合、対話型コンソールモードでTomcatを実行しているサーバー、特にWindowsでのANSIエスケープシーケンスや視覚的ログ異常を探し、管理者のワークフロー（クリップボード履歴、コピーされたコマンド）を再構築することに焦点を当てます。この作業は、ウェブログおよびエンドポイントテレメトリ全体での広範な脅威ハンティングとIOCスイープによってバックアップする必要があります。

緩和策

CVE-2025-55752またはCVE-2025-55754が探索されている、または積極的に悪用されている可能性がある場合：

1. Tomcatのパッチ：影響を受けるすべてのインスタンスをApache Tomcat 11.0.11、10.1.45、または9.0.109（または新しいベンダーサポート付きリリース）にアップグレードし、サポートされていない8.5.xビルドを廃止または置き換えます。
2. HTTPメソッドの強化：厳密に必要でない限り、HTTP PUTを無効にします。PUTが必要な場合は、認証済みでよく定義されたエンドポイントに制限し、アップロードディレクトリに厳密なファイルシステム許可を適用することを確認します。
3. ログとコンソール使用のレビュー：本番用Tomcatを対話型コンソールモードで実行しないでください。dev/test環境で実行する場合は、ログ設定を浄化し、ANSIエスケープシーケンスやコピー＆ペースト攻撃のリスクについて管理者を訓練します。
4. 乱用の監視：予期しないアップロード、構成変更、アプリケーションディレクトリ内の異常についてのアラートを実装し、コアTomcatパスへの疑わしいまたは不正なリクエストのログを監視します。

並行して、脆弱なTomcatデプロイメントを継続的にスキャンし、RCEクラスのTomcat問題を優先度の高いものとして脆弱性管理で取り扱います。

対応

CVE-2025-55752またはCVE-2025-55754が探索されている、または積極的に悪用されている可能性がある場合：

• 影響を受けたサーバーを隔離し、事例別に対応する。インターネットから露出したTomcatインスタンスを一時的に削除するか、アクセスを制限します（例えば、VPNのみ）調査中。
• 証拠を保護する。Tomcatアクセスログ、アプリケーションログ、システムログ、構成スナップショット、Webルートおよびデプロイメント ディレクトリのファイルシステムメタデータを収集します。
• 持続性とウェブシェルを探す。予期しないJSP、スクリプト、またはバイナリを探し、/WEB-INF/, /META-INF/、アップロードディレクトリ、および近隣のパスを確認し、既知の良好なベースラインと比較します。
• 管理者アクションをレビューします。特にCVE-2025-55754の場合、管理者がコンソールからANSI操作出力を含む可能性のあるコマンドをコピー＆ペーストしたかどうかをチェックし、結果として生じた変更を検証します。
• クリーンソースからの再構築。妥協を排除できない場合、信頼できるイメージからTomcatとアプリケーションを再展開し、強化された完全にパッチされた構成を再適用します。
• 検出とトレーニングの更新。CVE-2025-55752 / CVE-2025-55754のエクスプロイトパターン、疑わしいPUT使用法、およびエスケープシーケンスの異常をSIEMおよびEDRに追加し、安全なコンソールおよびログ実践について運用チームに説明します。