公開日: Mon, 17 Mar 2025 09:29:09 -0400
記事のジャンル: Security
Original URL: https://www.bleepingcomputer.com/news/security/critical-rce-flaw-in-apache-tomcat-actively-exploited-in-attacks/
記事本文(要約)
Apache Tomcatにおける重要なリモートコード実行(RCE)の脆弱性CVE-2025-24813が報告され、攻撃者がこの脆弱性を悪用してサーバーを制御しています。この攻撃は、GitHubに脆弱性の概念実証(PoC)が公開されてからわずか30時間後に確認されました。攻撃者はPUTリクエストにbase64でエンコードした悪意のあるJavaペイロードをTomcatのセッションストレージに保存し、次にGETリクエストによってそのコードを実行させます。この脆弱性は、Tomcatがファイルベースのセッションストレージを使用している場合にのみ影響を受け、認証を必要としないため、特に危険です。
Apacheは、CVE-2025-24813対策として、Tomcatのアップグレードを推奨しており、ユーザーは特定条件を満たさないよう注意が必要です。Wallarmは、この問題を悪用されること以上に、Tomcatでの部分的なPUT処理の脆弱性が今後増加する可能性を危惧しています。
※この要約はChatGPTを使用して生成されました。
詳細な技術情報
- CVE番号:
- CVE-2025-24813
- 脆弱性の仕組み:
- この脆弱性はApache Tomcatに存在し、特にファイルベースのセッションストレージを使用している場合、攻撃者がリモートでコードを実行できる欠陥があります。
- Tomcatが部分的なPUTリクエストを受け入れること、そしてデフォルトセッションの永続性に由来します。
- 「readonly」設定が「false」に設定されている場合と、部分的なPUTサポートが有効になっている場合に、脆弱な状態になります。
- 攻撃手法:
- PUTリクエスト: 攻撃者は、base64エンコードされたJavaシリアライズペイロードを含むPUTリクエストをTomcatに送信し、これをセッションストレージに保存します。
- GETリクエスト: 続いて、JSESSIONIDクッキーを用いたGETリクエストを送信し、Tomcatにアップロードされたセッションファイルを逆シリアライズして実行させます。
- バイパス: base64エンコードは、伝統的なセキュリティフィルターを迂回するために利用され、検出を難しくします。
- 潜在的な影響:
- 攻撃者は、ターゲットのサーバーを完全に制御することが可能です。
- 任意のコードの実行が許されるため、データ漏洩や不正な変更、サービス妨害(DoS)、さらにはバックドアの設置などが考えられます。
- 推奨される対策:
- 1. アップグレード:
- セキュリティパッチが適用されたTomcatバージョンにアップグレードします(11.0.3+, 10.1.35+, 9.0.99+)。
- 2. 設定の見直し:
- デフォルトのサーブレット設定を「readonly= “true”」に戻す。
- 部分的なPUTサポートを無効化する。
- セキュリティに敏感なファイルをパブリックなアップロードパスのサブディレクトリに保存しないようにする。
- 3. 追加的な防御策:
- トラフィックの監視と異常なベース64エンコードされたペイロードの検出を強化する。
- ウェブアプリケーションファイアウォール(WAF)による追加的な保護。
- 1. アップグレード:
- 拡張的な懸念:
- WallarmはTomcatの部分的なPUTハンドリングにより、今後さらに多くのRCE脆弱性が発生する可能性があると警告しています。
- 現在の攻撃のみならず、今後の攻撃手法の進化にも備えることが重要です。 この状況を受け、迅速な対応と、システム設定やセキュリティ体制の見直しが求められます。
