Apache Tomcatの重大な脆弱性がセキュリティフィルターを回避

Apache Tomcatは、最近公開された脆弱性をサイバー犯罪者が積極的に悪用し、リモートコード実行（RCE）を可能にする攻撃を受けています。攻撃者は単純なHTTPリクエストで悪意のあるデータのデシリアライゼーションをトリガーし、影響を受けたシステムを制御できます。

この脆弱性（CVE-2025-24813）は、3月10日にApacheによって公開され、その約30時間後にユーザーiSee857によってGitHubに最初の概念実証が公開されました。その後まもなく、セキュリティ企業Wallarmは、この脆弱性が実際に悪用されていることを確認し、HTTPリクエストは通常​​の攻撃に見えるため、悪意のあるペイロードはBase64エンコードされているため、従来のセキュリティフィルターでは検出できないと警告しました。

まず、攻撃者はエンコードされシリアル化されたJavaペイロードを含むPUTリクエストを送信します。このペイロードはTomcatのセッションストレージに書き込まれ、自動的にファイルに保存されます。次に、悪意のあるセッションを指すJSESSIONID Cookieを含むGETリクエストを送信します。

Tomcat がこのリクエストを処理すると、適切な検証を行わずにセッション データをデシリアル化し、埋め込まれた悪意のある Java コードを実行して、攻撃者に完全なリモート アクセスを与えることになります。

参照: Apache Webサーバーを使用してWebサイトをインストールおよび構成する方法

どの Apache Tomcat バージョンが脆弱ですか?

これを動作させるために認証は必要ありませんが、Apache のセキュリティ ノートによると、Tomcat アプリケーションが脆弱になるためには、次の条件が満たされている必要があります。

• デフォルトのサーブレットでは書き込みが有効になっています
• 部分的なPUTリクエストのサポートが有効になっています
• Tomcatにはデシリアライゼーション攻撃に利用できるライブラリが含まれている
• デフォルトの保存場所はファイルベースのセッション永続性を使用します

この脆弱性により、リモート コード実行の悪用だけでなく、次の条件が満たされた場合、攻撃者がセキュリティ上重要なファイルを表示または変更できる可能性があります。

• デフォルトのサーブレットでは書き込みが有効になっています
• 部分的なPUTリクエストのサポートが有効になっています
• セキュリティ上重要なファイルは公開ディレクトリに保存されており、部分的なPUTによってアップロードされた。
• 攻撃者はファイル名を知っている

これらの条件が満たされると、次の Tomcat バージョンはすべて脆弱になります。

• Apache Tomcat 11.0.0-M1 から 11.0.2
• Apache Tomcat 10.1.0-M1 から 10.1.34
• Apache Tomcat 9.0.0.M1 から 9.0.98

緩和策：システムを保護する方法

この脆弱性を軽減するために、ApacheはTomcatのバージョン11.0.3以降、10.1.35以降、9.0.99以降へのアップグレードを推奨しています。これらのバージョンはすべて十分にパッチが適用されているためです。あるいは、部分的なPUTサポートを無効にし、デフォルトサーブレットの書き込みを無効にし、セキュリティ上重要なファイルを公開ディレクトリに保存しないようにすることもできます。

Wallarm の研究者は、この脆弱性により、Tomcat が部分的な PUT リクエストを処理することで「実質的にあらゆるファイルをどこにでもアップロードできるようになる」ため、他のセキュリティ上の欠陥が発生する可能性が浮き彫りになると警告しています。

「攻撃者はすぐに戦術を変え、悪意のあるJSPファイルをアップロードしたり、設定を改ざんしたり、セッションストレージの外部にバックドアを仕掛けたりするようになるだろう」と彼らはブログ記事に記している。「これはほんの第一波に過ぎない」

こちらもご覧ください

• Apache 2 が PHP ファイルを実行しない問題を修正する方法
• Ubuntu ServerにApache Tomcatをデプロイする方法
• Volt TyphoonのハッカーがMSPやISPが利用するVersa Directorサーバーのゼロデイ脆弱性を悪用
• サイバーセキュリティ：さらに読むべき記事