CVE-2025-24813 Detection: Apache Tomcat RCE Vulnerability Actively Exploited in the Wild

[post-views]
3月 21, 2025 · 6 分で読めます
CVE-2025-24813 Detection: Apache Tomcat RCE Vulnerability Actively Exploited in the Wild

新たに明らかにされた RCE Apache Tomcat の脆弱性が、公開からわずか30時間後に PoC(概念実証)と共に悪用されています。CVE-2025-24813 の成功した悪用により、敵対者は不安全な非直列化を利用して、標的システム上でリモートでコードを実行することが可能となります。

CVE-2025-24813 の悪用試行を検出

武器化された CVE の急増により、積極的な脅威検出がこれまで以上に重要です。2025年が始まると、NIST NVD はすでに 10,451 件の新しいセキュリティ脆弱性を記録しており、その多くは実際の攻撃で積極的に悪用されています。サイバー脅威が常に進化する中、世界中のセキュリティチームは、悪用試行を先取りし効果的にリスクを軽減するために早期検出戦略に焦点を当てる必要があります。

依存する SOC Prime プラットフォーム は、先進的な脅威検出とハンティングのための完全な製品スイートをサポートし、あらゆるアクティブな脅威に対するキュレーションされた検出コンテンツを取得するための共同サイバー防御を提供します。

CVE-2025-24813(Apache Tomcat RCE)悪用試行の可能性(ウェブサーバー経由)

この検出は公開されている PoC に基づいており、敵対者が脆弱なアプリケーションへの初期アクセスを得るために行う可能性のある CVE-2025-24813 の悪用試行を特定するのに役立ちます。このルールは 22 の SIEM、EDR、およびデータレイクソリューションに対応し、MITRE ATT&CK の初期アクセス戦術および対応する Exploit Public-Facing Application (T1190) 技術に整合しています。

また、セキュリティプロフェッショナルは、以下の 探索検出 ボタンを押して、Apache Tomcat RCE の悪用に対処するために追加される可能性のある新しいルールを確認することができます。

探索検出

流行の脆弱性を武器化したサイバー攻撃を検出するためのより関連性のあるコンテンツを求めるサイバー防御者は、「CVE」タグで脅威検出マーケットプレイスを検索して関連する検出スタック全体にアクセスすることができます。

CVE-2025-24813 分析

防御者はApache Tomcatに新たな脆弱性を発見しました。この重大なRCE欠陥は CVE-2025-24813として追跡され、CVSSスコアは9.8に達しており、 PoCエクスプロイトコード がGitHubで公にされた以来、野外での攻撃で積極的に悪用されています。それは通常既存のリソースを更新するために使用されるPUT APIリクエストを通じてサーバーの制御をハッカーに許すものです。RCEまたはデータの露出は、デフォルトサーブレットが書き込みを許可し、部分的なPUTが有効になっており、機密ファイルがパブリックディレクトリにアップロードされ、そのファイル名をアタッカーが知っている場合に発生する可能性があります。上記の条件に加えて、適用されるTomcatがデフォルトの保存場所でファイルベースのセッション永続化を利用しており、非直列化攻撃に脆弱なライブラリを含んでいる場合、不正に利用することができます。このセキュリティ問題は、ソフトウェアバージョン11.0.0-M1から11.0.2、10.1.0-M1から10.1.34、および9.0.0-M1から9.0.98に影響を与えています。

GreyNoiseの研究者は、 悪用試行 を5つの異なるIPアドレスから観察しており、ほとんどの攻撃は米国、日本、インド、韓国、メキシコのシステムをターゲットにしており、セッションの70%以上が米国に拠点を置くシステムを目標としているため、潜在的に脆弱なソフトウェアが使用されている場合、CVE-2025-24813 の悪用試行に組織が曝されるリスクが高まっています。

CVE-2025-24813 の悪用試行リスクを低減するための潜在的な緩和策として、 ベンダーは Apache Tomcat 11.0.3 以上、Apache Tomcat 10.1.35 以上、または Apache Tomcat 9.0.99 以上への即時アップデートを推奨します。CVEの悪用を利用するサイバー攻撃が増加し続け、攻撃面が拡大する中で、世界的な組織は防御を強化することに努めています。SOC Primeは、AI駆動の検出エンジニアリング、自動化された脅威ハンティング、先進的な脅威検出のための 完全な製品スイート をキュレートしており、規模や複雑さを問わず、新たな脅威に対する最先端技術をセキュリティチームに提供しています。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-49144 脆弱性:Notepad++の重大な権限昇格の欠陥により、システム全体が乗っ取られる可能性
ブログ, 最新の脅威 — 10 分で読めます
CVE-2025-49144 脆弱性:Notepad++の重大な権限昇格の欠陥により、システム全体が乗っ取られる可能性
Veronika Telychko
CVE-2025-6018およびCVE-2025-6019脆弱性の悪用:ローカル権限昇格の欠陥を連鎖させることで、攻撃者が大多数のLinuxディストリビューションでルートアクセスを得る
ブログ, 最新の脅威 — 8 分で読めます
CVE-2025-6018およびCVE-2025-6019脆弱性の悪用:ローカル権限昇格の欠陥を連鎖させることで、攻撃者が大多数のLinuxディストリビューションでルートアクセスを得る
Veronika Telychko
CVE-2025-4123 脆弱性:「Grafana のゴースト」ゼロデイ攻撃が悪意のあるアカウント乗っ取りを可能に
ブログ, 最新の脅威 — 9 分で読めます
CVE-2025-4123 脆弱性:「Grafana のゴースト」ゼロデイ攻撃が悪意のあるアカウント乗っ取りを可能に
Veronika Telychko