CVE-2025-55752 및 CVE-2025-55754: Apache Tomcat 취약점이 서버를 RCE 공격에 노출시킴

분석

2025년 3월, CVE-2025-24813은 Apache Tomcat의 결함이 얼마나 빠르게 무기화될 수 있는지를 보여주었으며, 공개 직후 대량 악용이 관찰되었습니다. 새로 공개된 CVE-2025-55752와 CVE-2025-55754도 유사한 패턴을 따르며, 패치되지 않은 경우 Tomcat 서버가 원격 코드 실행(RCE) 및 관리자 속임 시나리오에 노출됩니다. Tomcat은 전 세계 수십만 개의 Java 웹 애플리케이션을 구동하므로 이 계층의 취약점은 기업 및 정부 환경에서 대규모로 영향을 미칩니다. ‘중요’ 등급의 CVE-2025-55752는 URL 재작성시 디렉토리 트래버설을 가능하게 하는 회귀 오류로, /WEB-INF/ 및 /META-INF/와 같은 통상적으로 보호된 경로에 대한 접근을 허용합니다. HTTP PUT가 활성화된 경우, 공격자는 악성 파일을 업로드하고 RCE로 이동할 수 있습니다. ‘낮음’ 등급의 CVE-2025-55754는 콘솔 로그에 주입된 ANSI 이스케이프 시퀀스를 악용하여 관리자가 공격자가 제어하는 명령을 실행하도록 속일 수 있는 사회공학 기회를 만듭니다.

조사

두 취약점 모두 Apache Tomcat 9, 10, 11 (11.0.0-M1–11.0.10, 10.1.0-M1–10.1.44, 9.0.0-M11–9.0.108) 및 선택된 수명 종료 8.5.x 빌드 (8.5.60–8.5.100)에 영향을 미칩니다. 보안 팀은 먼저 모든 Tomcat 인스턴스를 인벤토리하며, 유산 IT 및 그림자 IT를 포함하여 각 서버를 정확한 버전 및 구성 프로필에 매핑해야 합니다. CVE-2025-55752의 경우, 조사관은 /WEB-INF/ 또는 /META-INF/로의 경로 이동 시도를 위한 URL 패턴을 검토하고, 비정상적인 PUT 요청, 예기치 않은 업로드 및 새로 생성된 파일에 대한 접근 로그를 검사하며, 이를 PUT을 사용하는 합법적인 API와 비교해야 합니다. CVE-2025-55754의 경우, 특히 Windows에서 인터랙티브 콘솔에서 Tomcat을 실행하는 서버에 집중하여 ANSI 이스케이프 시퀀스 또는 시각적 로그 이상을 추적하고 관리자 워크플로 (클립보드 기록, 복사 명령)를 재구성합니다. 이 작업은 웹 로그 및 엔드포인트 원격 측정에서의 넓은 위협 사냥 및 IOC 스위핑을 통해 뒷받침되어야 합니다.

완화

CVE-2025-55752 또는 CVE-2025-55754가 탐색되거나 적극적으로 악용되고 있다고 의심된다면:

1. Tomcat 패치: 모든 영향을 받는 인스턴스를 Apache Tomcat 11.0.11, 10.1.45 또는 9.0.109(또는 최신 공급 업체 지원 릴리스)로 업그레이드하고 지원이 종료된 8.5.x 빌드는 폐기하거나 교체하십시오.
2. HTTP 방법 강화: 구체적 필요성이 없는 경우 HTTP PUT을 비활성화하십시오. PUT이 필요하다면, 이를 인증된 잘 정의된 엔드포인트로 제한하고 업로드 디렉토리의 파일 시스템 권한을 엄격하게 설정하십시오.
3. 로그 및 콘솔 사용 검토: 프로덕션 Tomcat을 대화형 콘솔 모드에서 실행하지 마십시오. 개발/테스트 환경에서는 로그 설정을 정화하고 ANSI 이스케이프 시퀀스 및 복붙 공격의 위험에 대해 관리자를 교육하십시오.
4. 악용 모니터링: 예상치 못한 업로드, 구성 변경, 애플리케이션 디렉토리의 이상을 탐지하기 위한 경고를 구현하고, 핵심 Tomcat 경로에 대한 의심스럽거나 잘못된 요청을 로그에서 감시하십시오.

동시에 감염된 Tomcat 배포를 지속적으로 스캔하고 RCE급 Tomcat 문제를 취약성 관리에서 높은 우선 순위로 처리하십시오.

대응

CVE-2025-55752 또는 CVE-2025-55754가 탐색되거나 적극적으로 악용되고 있다고 의심된다면:

• 영향받은 서버를 고립하고 조사하십시오. 조사하는 동안 노출된 Tomcat 인스턴스를 인터넷에서 임시로 제거하거나 액세스를 제한하십시오 (예: VPN 전용).
• 증거 보존. Tomcat 접근 로그, 애플리케이션 로그, 시스템 로그, 구성 스냅샷 및 웹루트 및 배포 디렉토리의 파일 시스템 메타데이터를 수집하십시오.
• 지속성 및 웹 셸 사냥. 예상치 못한 JSP, 스크립트 또는 바이너리를  /WEB-INF/, /META-INF/, 업로드 디렉토리 및 인접 경로에서 찾고, 알려진 양호한 기준과 비교하십시오.
• 관리자 행동 검토. 특히 CVE-2025-55754의 경우, 관리자가 ANSI 조작 출력이 포함된 콘솔에서 명령을 복사했는지 여부를 확인하고 결과적인 변경 사항을 검증하십시오.
• 클린 소스에서 재구성. 타협을 배제할 수 없는 경우, 믿을 수 있는 이미지에서 Tomcat 및 애플리케이션을 재배포하고 강화되고 완전히 패치된 구성을 재적용하십시오.
• 탐지 및 교육 업데이트. CVE-2025-55752 / CVE-2025-55754 익스플로잇 패턴, 의심스러운 PUT 사용 및 이스케이프 시퀀스 이상을 SIEM 및 EDR에 추가하고, 운영팀에 안전한 콘솔 및 로깅 관행을 교육하십시오.