CVE-2025-55752 et CVE-2025-55754 : Vulnérabilités d’Apache Tomcat Exposent les Serveurs aux Attaques RCE

Analyse

En mars 2025, le CVE-2025-24813 a montré à quelle vitesse une faille dans Apache Tomcat peut être exploitée, avec une exploitation massive observée peu après sa divulgation. Les CVE-2025-55752 et CVE-2025-55754 récemment divulgués suivent le même schéma, exposant les serveurs Tomcat à des scénarios d’exécution de code à distance (RCE) et de tromperie d’administration si non corrigés. Tomcat alimente des centaines de milliers d’applications web Java dans le monde entier, donc les vulnérabilités à ce niveau ont un impact large à l’échelle dans les environnements d’entreprise et gouvernementaux. Le CVE-2025-55752, classé “Important”, est une régression qui permet la traversée de répertoires via des URL réécrites, permettant l’accès à des chemins normalement protégés tels que /WEB-INF/ et /META-INF/. Si HTTP PUT est activé, les attaquants peuvent télécharger des fichiers malveillants et pivoter vers la RCE. Le CVE-2025-55754, classé “Faible”, abuse des séquences d’échappement ANSI injectées dans les journaux de console, créant des opportunités d’ingénierie sociale où les administrateurs sont trompés pour exécuter des commandes contrôlées par les attaquants.

Investigation

Les deux vulnérabilités affectent Apache Tomcat 9, 10 et 11 (11.0.0-M1–11.0.10, 10.1.0-M1–10.1.44, 9.0.0-M11–9.0.108) plus certaines versions en fin de vie 8.5.x (8.5.60–8.5.100). Les équipes de sécurité doivent d’abord inventorier chaque instance Tomcat, y compris celles héritées et de l’informatique fantôme, et mapper chaque serveur à sa version et son profil de configuration exacts. Pour le CVE-2025-55752, les enquêteurs doivent examiner les modèles d’URL pour les tentatives de traversée de chemin dans /WEB-INF/ ou /META-INF/, inspecter les journaux d’accès pour des requêtes PUT inhabituelles, des téléchargements inattendus et des fichiers nouvellement créés, et les comparer aux API légitimes utilisant PUT. Pour le CVE-2025-55754, concentrez-vous sur les serveurs exécutant Tomcat dans une console interactive, surtout sur Windows, à la recherche de séquences d’échappement ANSI ou d’anomalies visuelles dans les journaux, et reconstruisez les flux de travail admin (historique du presse-papiers, commandes copiées). Ce travail doit être soutenu par une chasse aux menaces plus large et des balayages IOC à travers les journaux web et la télémétrie des points d’extrémité.

Atténuation

Si vous soupçonnez que le CVE-2025-55752 ou le CVE-2025-55754 est sondé ou activement exploité :

1. Corrigez Tomcat : Mettez à niveau toutes les instances affectées vers Apache Tomcat 11.0.11, 10.1.45 ou 9.0.109 (ou des versions prises en charge plus récentes par le fournisseur), et décommissionner ou remplacer les versions 8.5.x non supportées.
2. Renforcez les méthodes HTTP : Désactivez HTTP PUT partout où ce n’est pas strictement nécessaire. Si PUT est requis, restreignez-le à des points d’extrémité authentifiés et bien définis et appliquez des permissions strictes sur le système de fichiers dans les répertoires de téléchargement.
3. Examinez l’enregistrement des logs et l’utilisation de la console : Ne pas exécuter Tomcat en production en mode console interactive. Pour les environnements de développement/test qui le font, assainissez les paramètres de journalisation et formez les administrateurs sur les risques des séquences d’échappement ANSI et des attaques par copier-coller.
4. Surveillez les abus : Implémentez des alertes pour les téléchargements inattendus, les changements de configuration et les anomalies dans les répertoires d’applications, et surveillez les journaux pour les requêtes suspectes ou malformées vers les chemins principaux de Tomcat.

En parallèle, scannez continuellement les déploiements Tomcat vulnérables et traitez les problèmes de classe RCE de Tomcat comme une priorité élevée dans la gestion des vulnérabilités.

Réponse

Si vous soupçonnez que le CVE-2025-55752 ou le CVE-2025-55754 est sondé ou activement exploité :

• Isolez et triez les serveurs affectés. Retirez temporairement les instances Tomcat exposées d’internet ou restreignez l’accès (par exemple, VPN uniquement) pendant que vous enquêtez.
• Préservez les preuves. Collectez les journaux d’accès Tomcat, les journaux d’application, les journaux système, les instantanés de configuration et les métadonnées du système de fichiers pour les répertoires webroot et de déploiement.
• Chassez la persistance et les web shells. Cherchez des JSP, scripts ou binaires inattendus dans /WEB-INF/, /META-INF/, les répertoires de téléchargement, et les chemins voisins ; comparez avec les bonnes références de base connues.
• Examinez les actions des administrateurs. Pour le CVE-2025-55754 en particulier, vérifiez si les administrateurs ont copié-collé des commandes depuis des consoles susceptibles d’avoir contenu des sorties manipulées par ANSI, et validez les changements résultants.
• Reconstruisez à partir de sources propres. Là où le compromis ne peut être exclu, redéployez Tomcat et les applications à partir d’images de confiance et réappliquez des configurations renforcées et complètement corrigées.
• Mettez à jour les détections et la formation. Ajoutez des modèles d’exploitation CVE-2025-55752 / CVE-2025-55754, une utilisation suspecte de PUT et des anomalies de séquence d’échappement au SIEM et à l’EDR, et briefez les équipes d’opérations sur les bonnes pratiques de console et de journalisation.