CVE-2025-55752 e CVE-2025-55754: Vulnerabilità di Apache Tomcat Espongono i Server ad Attacchi RCE
Indice:
A marzo 2025, CVE-2025-24813 ha servito come un chiaro promemoria di quanto rapidamente una vulnerabilità critica di Apache Tomcat possa trasformarsi in una minaccia attiva. Meno di 30 ore dopo la sua divulgazione, gli attaccanti stavano già sfruttando la deserializzazione non sicura per eseguire codice da remoto, prendendo il controllo dei server non aggiornati. Ora, solo pochi mesi dopo, una coppia di nuove vulnerabilità (CVE-2025-55752, CVE-2025-55754) è stata messa in evidenza, aprendo ancora una volta la porta agli attacchi RCE.
Apache Tomcat è un contenitore servlet Java open-source e gratuito che ospita app web basate su Java e implementa le specifiche Java Servlet e JavaServer Pages (JSP). Alimenta centinaia di migliaia di siti web e sistemi aziendali in tutto il mondo, comprese agenzie governative, grandi corporazioni e infrastrutture critiche. Tuttavia, un utilizzo così diffuso di software open-source porta un serio livello di preoccupazione. Secondo il 2025 Open Source Security and Risk Analysis (OSSRA) Report, l’86% dei codebase commerciali valutati contenevano vulnerabilità di software open-source e l’81% di questi contenevano vulnerabilità ad alto o critico rischio.
Iscriviti alla piattaforma SOC Prime per accedere al feed globale delle minacce attive, che offre intelligence sulle minacce informatiche in tempo reale e algoritmi di rilevamento curati per affrontare le minacce emergenti, come le falle nel software open-source. Tutte le regole sono compatibili con più formati SIEM, EDR, e Data Lake e sono mappate al framework MITRE ATT&CK® . Inoltre, ogni regola è arricchita con CTI collegamenti, cronologie degli attacchi, configurazioni di audit, raccomandazioni di triage e più contesti rilevanti. Premi il pulsante Explore Detections per vedere l’intero stack di rilevamento per la difesa proattiva contro le vulnerabilità critiche filtrate per il tag “CVE”.
Inoltre, gli esperti di sicurezza potrebbero semplificare l’indagine delle minacce usando Uncoder AI, un IDE privato e co-pilota per l’ingegneria del rilevamento informato dalle minacce. Genera algoritmi di rilevamento dai report delle minacce raw, abilita sweep veloci degli IOC, predici tag ATT&CK, ottimizza il codice delle query con suggerimenti AI e traducilo tra diverse lingue SIEM, EDR e Data Lake.
Analisi di CVE-2025-55752 e CVE-2025-55754
Il 27 ottobre 2025, la Apache Software Foundation ha confermato due nuove vulnerabilità che interessano le versioni di Apache Tomcat 9, 10 e 11.
Dei due difetti recentemente segnalati, CVE-2025-55752 è considerato il più grave, ottenendo un punteggio di “Importante”. Questa vulnerabilità è emersa da una regressione durante la risoluzione di un precedente bug (bug 60013) e permette agli attaccanti di sfruttare il traversal di directory attraverso URL riscritti. Creando URI di richiesta che vengono normalizzati prima della decodifica, gli attori malevoli possono potenzialmente bypassare le protezioni integrate di Tomcat per le directory critiche, inclusi /WEB-INF/ and /META-INF/. Il rischio aumenta se le richieste HTTP PUT sono abilitate, dato che gli attaccanti potrebbero caricare file malevoli, portando potenzialmente all’esecuzione di codice remoto sul server. Tuttavia, nella maggior parte delle configurazioni di produzione, le richieste PUT sono limitate a utenti fidati, il che limita la probabilità di sfruttamento immediato.
Il secondo difetto, CVE-2025-55754, ha una classificazione di gravità “Bassa” ma rimane degna di nota. Deriva dalla gestione inadeguata di sequenze di escape ANSI nei log della console da parte di Tomcat. Quando si esegue in un ambiente console (particolarmente sui sistemi Windows) gli attaccanti possono inviare URL creati appositamente che iniettano sequenze di escape nell’output del log. Queste sequenze possono manipolare il display della console o il contenuto degli appunti, creando opportunità per ingannare gli amministratori ad eseguire azioni non intenzionali. Anche se osservati principalmente su Windows, vettori di attacco simili potrebbero esistere su altre piattaforme, ampliando l’impatto potenziale di questa vulnerabilità.
Mitigazione di CVE-2025-55752 e CVE-2025-55754
Le vulnerabilità influenzano le versioni di Apache Tomcat 11.0.0-M1 fino a 11.0.10, 10.1.0-M1 fino a 10.1.44, e 9.0.0-M11 fino a 9.0.108, oltre a alcune versioni EOL come 8.5.60 fino a 8.5.100.
Per affrontare questi problemi, gli amministratori dovrebbero aggiornare alle versioni patch—Tomcat 11.0.11, 10.1.45, e 9.0.109—e verificare tutte le istanze distribuite per garantire che nessuna versione interessata rimanga in uso.
Ulteriori misure di mitigazione includono la disabilitazione o la restrizione delle richieste HTTP PUT a meno che non siano strettamente necessarie, la revisione delle configurazioni di console e logging (soprattutto sui sistemi Windows) e il monitoraggio attivo per attività insolite, come caricamenti di file imprevisti o voci di log sospette. Prendendo questi provvedimenti, le organizzazioni possono ridurre significativamente il rischio di sfruttamento e mantenere la sicurezza e la stabilità delle loro applicazioni web e infrastrutture critiche.
Migliorare le strategie di difesa informatica proattiva è cruciale per le organizzazioni per ridurre in modo efficace e tempestivo i rischi di sfruttamento delle vulnerabilità. Sfruttando l’intera suite di prodotti SOC Prime per una protezione di sicurezza pronta per l’impresa supportata dalla migliore expertise in cybersecurity e AI, e costruita su traguardi di zero-trust , le organizzazioni globali possono predisporre le difese su scala e rafforzare il loro approccio alla cybersecurity.
