CVE-2025-55752 und CVE-2025-55754: Apache Tomcat-Schwachstellen setzen Server RCE-Angriffen aus
Inhaltsverzeichnis:
Im März 2025, CVE-2025-24813 diente als eindringliche Erinnerung daran, wie schnell eine kritische Apache Tomcat-Schwachstelle zu einer aktiven Bedrohung werden kann. Weniger als 30 Stunden nach ihrer Offenlegung nutzten Angreifer bereits unsichere Deserialisierung aus, um Code remote auszuführen und ungeschützte Server zu übernehmen. Jetzt, nur Monate später, treten zwei neue Schwachstellen (CVE-2025-55752, CVE-2025-55754) ins Rampenlicht und öffnen erneut die Tür zu RCE-Angriffen.
Apache Tomcat ist ein kostenloser Open-Source-Java-Servlet-Container, der Java-basierte Web-Apps hostet und Java Servlet- und JavaServer Pages (JSP)-Spezifikationen implementiert. Er betreibt Hunderttausende von Websites und Unternehmenssystemen weltweit, einschließlich Regierungsbehörden, großer Unternehmen und kritischer Infrastrukturen. Doch der weit verbreitete Einsatz von Open-Source-Software bringt eine ernsthafte Ebene der Besorgnis mit sich. Laut dem 2025 Open Source Security and Risk Analysis (OSSRA) Report, enthielten 86% der bewerteten kommerziellen Codebasen Open-Source-Software-Schwachstellen, und 81% davon enthielten Schwachstellen mit hohem oder kritischem Risiko.
Melden Sie sich bei der SOC Prime Platform an , um auf den globalen aktiven Bedrohungsfeed zuzugreifen, der Echtzeit-Cyber-Bedrohungsinformationen und kuratierte Erkennungsalgorithmen bietet, um aufkommende Bedrohungen wie Sicherheitslücken in Open-Source-Software zu bewältigen. Alle Regeln sind mit mehreren SIEM-, EDR- und Data Lake-Formaten kompatibel und auf den MITRE ATT&CK® Framework abgebildet. Darüber hinaus wird jede Regel mit CTI Links, Angriffschronologien, Audit-Konfigurationen, Triage-Empfehlungen und weiteren relevanten Kontext angereichert. Drücken Sie die Explore Detections Schaltfläche, um den gesamten Erkennungsstack für die proaktive Verteidigung gegen kritische Schwachstellen zu sehen, die durch den „CVE“-Tag gefiltert sind.
Darüber hinaus könnten Sicherheitsexperten die Bedrohungsuntersuchung mithilfe von Uncoder AI, einem privaten IDE & Co-Pilot für bedrohungsinformierte Erkennungstechnik, optimieren. Erstellen Sie Erkennungsalgorithmen aus Rohbedrohungsberichten, ermöglichen Sie schnelle IOC-Abfragen, sagen Sie ATT&CK-Tags voraus, optimieren Sie Abfragecode mit KI-Tipps und übersetzen Sie ihn in mehrere SIEM-, EDR- und Data Lake-Sprachen.
CVE-2025-55752 und CVE-2025-55754 Analyse
Am 27. Oktober 2025 bestätigte die Apache Software Foundation zwei neue Sicherheitslücken, die Apache Tomcat-Versionen 9, 10 und 11 betreffen.
Von den beiden neu gemeldeten Schwachstellen wird CVE-2025-55752 als schwerwiegender angesehen und erhielt die Bewertung „Wichtig“. Diese Schwachstelle entstand aus einer Regression während der Behebung eines früheren Fehlers (Fehler 60013) und ermöglicht es Angreifern, Directory Traversal durch umgeschriebene URLs auszunutzen. Durch das Erstellen von Anforderungs-URIs, die normalisiert werden, bevor sie dekodiert werden, können böswillige Akteure möglicherweise die eingebauten Schutzmaßnahmen von Tomcat für kritische Verzeichnisse umgehen, einschließlich /WEB-INF/ and /META-INF/. Das Risiko steigt, wenn HTTP PUT-Anfragen aktiviert sind, da Angreifer möglicherweise bösartige Dateien hochladen können, was zu einer Remote-Code-Ausführung auf dem Server führen könnte. In den meisten Produktionsumgebungen sind PUT-Anfragen jedoch auf vertrauenswürdige Benutzer beschränkt, was die Wahrscheinlichkeit einer sofortigen Ausnutzung verringert.
Der zweite Fehler, CVE-2025-55754, hat eine Einstufung mit geringer Schwere, bleibt aber bemerkenswert. Er resultiert aus Tomcats unzureichender Handhabung von ANSI-Escape-Sequenzen in Konsolenprotokollen. Wenn er in einer Konsolenumgebung (besonders auf Windows-Systemen) betrieben wird, können Angreifer speziell gestaltete URLs senden, die Escape-Sequenzen in die Protokollausgabe einfügen. Diese Sequenzen können die Konsolenanzeige oder den Inhalt der Zwischenablage manipulieren, wodurch Gelegenheiten entstehen, Administratoren zu täuschen, unbeabsichtigte Aktionen auszuführen. Obwohl hauptsächlich auf Windows beobachtet, könnten ähnliche Angriffsvektoren auf anderen Plattformen existieren, was die potenzielle Auswirkung dieser Schwachstelle erweitert.
CVE-2025-55752 und CVE-2025-55754 Schadensbegrenzung
Die Schwachstellen betreffen Apache Tomcat-Versionen 11.0.0-M1 bis 11.0.10, 10.1.0-M1 bis 10.1.44 und 9.0.0-M11 bis 9.0.108 sowie einige EOL-Versionen wie 8.5.60 bis 8.5.100.
Um diese Probleme zu beheben, sollten Administratoren auf die gepatchten Versionen – Tomcat 11.0.11, 10.1.45 und 9.0.109 – aktualisieren und alle eingesetzten Instanzen überprüfen, um sicherzustellen, dass keine betroffenen Versionen mehr verwendet werden.
Weitere Maßnahmen zur Schadensbegrenzung umfassen das Deaktivieren oder Einschränken von HTTP PUT-Anfragen, es sei denn, sie sind unbedingt erforderlich, die Überprüfung von Konsolen- und Protokollkonfigurationen (insbesondere auf Windows-Systemen) sowie die aktive Überwachung auf ungewöhnliche Aktivitäten wie unerwartete Dateiuploads oder verdächtige Protokolleinträge. Durch diese Schritte können Organisationen das Risiko der Ausnutzung erheblich reduzieren und die Sicherheit und Stabilität ihrer Webanwendungen und kritischen Infrastrukturen aufrechterhalten.
Die Verbesserung proaktiver Cyber-Abwehrstrategien ist entscheidend für Organisationen, um die Risiken der Ausnutzung von Schwachstellen effektiv und schnell zu reduzieren. Durch die Nutzung der vollständigen Produktpalette von SOC Prime für unternehmensbereiten Sicherheitsschutz, unterstützt durch führende Expertise im Bereich Cybersecurity und KI, und basierend auf Zero-Trust Meilensteinen können globale Organisationen Abwehrmaßnahmen in großem Maßstab zukunftssicher machen und ihre Cybersecurity-Haltung stärken.
