Apache TomcatのRCE脆弱性、攻撃で悪用される：CVE-2025-24813

Apache TomcatのRCE脆弱性、攻撃で悪用される：CVE-2025-24813

Wallarm – March 14, 2025

Apache TomcatにおけるRCEの脆弱性CVE-2025-24813の悪用が開始され、公開エクスプロイトも登場していることをWallarmが報告。当初中国語フォーラムのユーザー「iSee857」によってリリースされたPoCエクスプロイトは、既にGitHubでも利用可能になっているという。

このエクスプロイトは、①PUT APIリクエストを通じたシリアライズされたJavaセッションのアップロードと、②GETリクエスト内で有害なセッションIDを参照することによるデシリアライゼーションのトリガー、という2つのステップで構成されている。攻撃には、Tomcatのデフォルトのセッション永続化メカニズムと、部分的なPUTリクエストの処理が有効である状態を悪用して行われるという。

①のステップでは、サーバーへ有害セッションファイルをアップロードするためのPUTリクエストが送られる。ペイロードはbase64でエンコードされたysoserialガジェットチェーンで、デシリアライズされるとRCEをトリガーできる設計になっているという。このリクエストによってTomcatのセッションストレージディレクトリ内にファイルが書き込まれるが、Tomcatのセッションデータは自動的にファイル内へ保存されるため、有害ペイロードはディスク上に保管される。

次のステップでは、有害なセッションを指し示すJSESSIONIDとともにシンプルなGETリクエストを送ってデシリアライゼーションをトリガーする。JSESSIONIDの指定するセッションIDを確認したTomcatは保管されていたファイルを呼び出してデシリアライズし、埋め込まれていたJavaコードを実行。これにより、攻撃者には完全なリモートアクセスが提供されるという。

Wallarmは、この攻撃が非常にシンプルに実行でき、認証も必要としないことや、base64によるエンコードによって検出が困難になっていることを理由に、同エクスプロイトの危険性を強調。また、攻撃で用いられるPUTリクエストは一見普通で、明らかに有害なコンテンツを含んでいるわけではないことも従来のWAFによる検出が難しくなる要因の1つだと指摘した。その上で、組織には旧式のWAFや侵害が発生した後に行われるフォレンジック分析に頼るのではなく、今回のエクスプロイトのような脅威をリアルタイムで検出・ブロックできるAPIセキュリティプラットフォームを導入することが推奨されると主張した。