CVE-2025-55752およびCVE-2025-55754：Apache Tomcatの脆弱性がサーバーをRCE攻撃にさらす

2025年3月、 CVE-2025-24813 は、重大なApache Tomcatの脆弱性がどれほど迅速に活発な脅威に変わるかを示す痛烈な警告となりました。その公開から30時間も経たないうちに、攻撃者は安全でないデシリアライズを悪用してリモートでコードを実行し、未パッチのサーバーを制御していました。現在、数か月後、2つの新しい脆弱性（CVE-2025-55752, CVE-2025-55754）が再び注目を集め、RCE攻撃への扉を再び開いています。

Apache Tomcatは、Javaサーブレットコンテナであり、Javaベースのウェブアプリをホストし、Java ServletとJavaServer Pages (JSP) 仕様を実装します。政府機関、大企業、重要インフラを含む世界中の何十万ものウェブサイトとエンタープライズシステムを運営しています。しかし、このようなオープンソースソフトウェアの広範な利用は、深刻な懸念を引き起こします。によれば 2025年オープンソースセキュリティとリスク分析（OSSRA）レポート、評価された商用コードベースの86％がオープンソースソフトウェアの脆弱性を含んでおり、そのうち81％が高リスクまたは重大リスクの脆弱性を含んでいました。

SOC Prime Platformに登録 してグローバルな活動中の脅威フィードにアクセスし、オープンソースソフトウェアの欠陥など、新たな脅威に対処するリアルタイムのサイバー脅威インテリジェンスとキュレーションされた検知アルゴリズムを取得できます。すべてのルールは、複数のSIEM、EDR、およびデータレイクフォーマットに対応し、 MITRE ATT&CK® フレームワークにマッピングされています。さらに、各ルールには、 CTI リンク、攻撃のタイムライン、監査設定、トリアージの推奨事項、および他の関連するコンテキストが強化されています。「 Explore Detections 」ボタンを押して、「CVE」タグでフィルタリングされた重大な脆弱性に対する積極的な防御のための完全な検知スタックを確認してください。

Explore Detections

さらに、セキュリティの専門家は Uncoder AIを使用して脅威調査を効率化できます。脅威情報に基づいた検知エンジニアリングのためのプライベートIDE & コ・パイロットです。生の脅威レポートから検知アルゴリズムを生成し、IOCスイープの高速化、ATT&CKタグの予測、クエリーコードのAIヒントによる最適化、および複数のSIEM、EDR、データレイク言語への翻訳を可能にします。

CVE-2025-55752とCVE-2025-55754の分析

2025年10月27日、Apache Software FoundationはApache Tomcatのバージョン9、10、および11に影響を与える2つの新しい脆弱性を確認しました。

新たに報告された2つの欠陥の中で、 CVE-2025-55752 はより深刻とされ、「重要」な評価を受けています。この脆弱性は、以前のバグ（バグ60013）の解決中に発生したリグレッションに由来し、書き換えられたURLを介したディレクトリトラバーサル攻撃を許容します。デコード前に正規化されたリクエストURIを作成することで、悪意のあるアクターは、/WEB-INF/や /WEB-INF/ and /META-INF/などの重要なディレクトリに対するTomcatの内蔵保護を潜在的に回避できます。HTTP PUTリクエストが有効になっている場合、攻撃者は悪意のあるファイルをアップロードし、サーバーでリモートコードを実行する可能性があります。ただし、ほとんどのプロダクション設定では、PUTリクエストは信頼できるユーザーに制限されているため、即時に悪用される可能性は低くなっています。

2つ目の欠陥である CVE-2025-55754は、「低」い深刻度の評価ですが、それでも注目に値します。これはTomcatのコンソールログにおけるANSIエスケープシーケンスの処理の不十分さに起因しています。コンソール環境（特にWindowsシステム上）で実行されると、攻撃者はエスケープシーケンスをログ出力に注入する特別に作成されたURLを送信できます。これらのシーケンスは、コンソールディスプレイやクリップボードの内容を操作し、管理者を意図しない操作に誘導する機会を作り出します。主にWindowsで観察されましたが、他のプラットフォームでも類似の攻撃ベクトルが存在し、この脆弱性の影響が広がる可能性があります。

CVE-2025-55752とCVE-2025-55754の緩和策

これらの脆弱性は、Apache Tomcatのバージョン11.0.0-M1から11.0.10、10.1.0-M1から10.1.44、および9.0.0-M11から9.0.108まで、さらに8.5.60から8.5.100までの一部のEOLバージョンに影響を与えます。

これらの問題を解決するために、管理者は修正されたリリースであるTomcat 11.0.11、10.1.45、および9.0.109にアップグレードし、すべてのデプロイされたインスタンスを確認して影響を受けるバージョンが使用されていないことを確認してください。

その他の緩和策には、必要な場合を除きHTTP PUTリクエストを無効または制限すること、コンソールおよびログの設定を確認すること（特にWindowsシステム上で）、そして予期しないファイルのアップロードや不審なログエントリなどの異常な活動を積極的に監視することが含まれます。これらのステップを踏むことで、組織はエクスプロイトのリスクを大幅に低減し、ウェブアプリケーションおよび重要インフラのセキュリティと安定性を維持することができます。

積極的なサイバー防御戦略を強化することは、組織が脆弱性エクスプロイトのリスクを効果的かつ迅速に軽減するために不可欠です。を活用することで、 SOC Primeの完全な製品スイート をエンタープライズ向けのセキュリティ保護に利用し、トップクラスのサイバーセキュリティ専門知識とAIに裏打ちされ、 ゼロトラスト のマイルストーンを基に、グローバル企業が大規模に防御を将来にわたって保証し、サイバーセキュリティの構えを強化することができます。