CVE-2025-55752 및 CVE-2025-55754: Apache Tomcat 취약점이 RCE 공격에 서버를 노출시킴

2025년 3월, CVE-2025-24813 는 중요한 Apache Tomcat 취약성이 얼마나 빠르게 활성 위협으로 발전할 수 있는지를 상기시켰습니다. 공공 공개 후 30시간도 되지 않아 공격자들은 안전하지 않은 역직렬화를 악용해 원격으로 코드를 실행하고 패치되지 않은 서버를 장악하고 있었습니다. 이제 몇 달도 지나지 않아, 새로운 두 개의 취약성(CVE-2025-55752, CVE-2025-55754)이 주목받고 있으며, RCE 공격에 다시 한번 문을 열고 있습니다.

Apache Tomcat은 Java 기반 웹 애플리케이션을 호스팅하고 Java Servlet 및 JavaServer Pages(JSP) 사양을 구현하는 무료 오픈 소스 Java 서블릿 컨테이너입니다. 이는 전 세계 정부 기관, 대기업, 중요한 인프라를 포함해 수십만 개의 웹사이트와 기업 시스템을 지원합니다. 그러나 이러한 오픈 소스 소프트웨어의 광범위한 사용은 심각한 우려를 가져옵니다. 2025 오픈 소스 보안 및 위험 분석(OSSRA) 보고서에 따르면, 평가된 상용 코드베이스의 86%가 오픈 소스 소프트웨어 취약성을 포함하고 있었으며, 그 중 81%가 높은 또는 심각한 위험의 취약성을 포함하고 있습니다.

SOC Prime 플랫폼에 가입 하여 오픈 소스 소프트웨어의 결함과 같은 신종 위협을 해결하기 위한 실시간 사이버 위협 인텔리전스 및 큐레이팅된 탐지 알고리즘을 제공하는 글로벌 활성 위협 피드를 이용하십시오. 모든 규칙은 여러 SIEM, EDR 및 데이터 레이크 형식과 호환되며, MITRE ATT&CK® 프레임워크에 매핑됩니다. 또한 각 규칙은 CTI 링크, 공격 타임라인, 감사 구성, 트라이애지 권고사항 등을 포함한 관련 컨텍스트로 풍부하게 제공됩니다. ‘ 탐지 탐색 ‘ 버튼을 눌러 ‘CVE’ 태그로 필터된 중요한 취약성에 대한 사전 방어를 위한 전체 탐지 스택을 확인하십시오.

탐지 탐색

또한, 보안 전문가들은 Uncoder AI를 사용하여 위협 조사 작업을 간소화할 수 있습니다. 이는 위협 중심 탐지 엔지니어링을 위한 비공개 IDE 및 보조 역할을 합니다. 원시 위협 보고서에서 탐지 알고리즘을 생성하고, 빠른 IOC 스윕을 가능케 하며, ATT&CK 태그를 예측하고, AI 팁으로 쿼리 코드를 최적화하고, 여러 SIEM, EDR 및 데이터 레이크 언어로 번역할 수 있습니다.

CVE-2025-55752 및 CVE-2025-55754 분석

2025년 10월 27일에 Apache 소프트웨어 재단은 Apache Tomcat 버전 9, 10, 11에 영향을 미치는 두 가지 새로운 취약성을 확인했습니다.

새로 보고된 두 가지 결함 중, CVE-2025-55752 는 더 심각한 것으로 간주되며 ‘중요’ 등급을 받았습니다. 이 취약성은 이전 버그(버그 60013)의 해결 과정에서의 회귀로 인해 발생했으며, 재작성된 URL을 통한 디렉토리 탐색을 공격자가 악용할 수 있게 합니다. 디코딩 전에 정규화된 요청 URI를 작성함으로써, 악의적인 행위자는 /WEB-INF/ and /META-INF/등의 중요한 디렉토리에 대한 Tomcat의 내장 보호를 우회할 가능성이 있습니다. HTTP PUT 요청이 활성화된 경우, 공격자는 악성 파일을 업로드할 수 있으며, 이는 잠재적으로 서버에서 원격 코드 실행으로 이어질 수 있습니다. 그러나 대부분의 프로덕션 환경에서는 PUT 요청이 신뢰할 수 있는 사용자로 제한되어 있어 즉각적인 악용 가능성은 제한됩니다.

두 번째 결함, CVE-2025-55754는 ‘낮음’ 심각도 등급을 가지고 있지만 주목할 만합니다. 이는 콘솔 로그에서 ANSI 이스케이프 시퀀스를 적절히 처리하지 않는 Tomcat의 문제에서 발생합니다. 콘솔 환경, 특히 Windows 시스템에서 실행될 때, 공격자는 로그 출력에 이스케이프 시퀀스를 주입하는 특별히 작성된 URL을 보낼 수 있습니다. 이러한 시퀀스는 콘솔 표시나 클립보드 내용을 변경하여 관리자가 의도하지 않은 작업을 수행하도록 속일 수 있는 기회를 제공합니다. 주로 Windows에서 관찰되었지만, 다른 플랫폼에서도 유사한 공격 벡터가 존재할 수 있어 이 취약성의 잠재적인 영향을 넓힐 수 있습니다.

CVE-2025-55752 및 CVE-2025-55754 완화

이 취약성은 Apache Tomcat 버전 11.0.0-M1부터 11.0.10, 10.1.0-M1부터 10.1.44, 그리고 9.0.0-M11부터 9.0.108까지, 그리고 8.5.60부터 8.5.100까지의 일부 EOL 버전에 영향을 미칩니다.

이 문제를 해결하기 위해, 관리자는 패치된 릴리스 — Tomcat 11.0.11, 10.1.45, 9.0.109로 업그레이드하고 모든 배포된 인스턴스를 확인하여 영향을 받는 버전이 더 이상 사용되지 않도록 해야 합니다.

추가 완화 조치로는 HTTP PUT 요청을 반드시 필요한 경우가 아니면 비활성화하거나 제한하고, 특히 Windows 시스템에서 콘솔 및 로그 구성 검토, 의심스러운 파일 업로드나 의심스러운 로그 항목 같은 비정상적인 활동을 적극적으로 모니터링하는 것이 포함됩니다. 이러한 조치를 통해 조직은 악용 위험을 크게 줄이고, 웹 애플리케이션 및 주요 인프라의 보안과 안정성을 유지할 수 있습니다.

사전 사이버 방어 전략을 강화하는 것은 조직이 취약성 악용의 위험을 효과적이고 신속하게 줄일 수 있도록 하는 데 필수적입니다. SOC Prime의 완전한 제품군은 기업 준비가 된 보안 보호를 위해 최고 수준의 사이버 보안 전문 지식과 AI를 지원하고, 제로 트러스트 이정표에 기반하여, 글로벌 조직이 규모에 맞게 방어력을 미래 지향적으로 강화하고 사이버 보안 자세를 강화할 수 있도록 합니다.