お問い合わせ
ブログ

CVE-2025-24813: Apache Tomcat におけるリモートコード実行および情報漏洩の脆弱性

最近、 Apache Tomcat に新たな脆弱性「CVE-2025-24813」が発見されました。当脆弱性は、リモートコード実行(RCE)、情報漏洩、またはファイルの破損を引き起こす可能性があり、攻撃者が特定の条件を満 続きを読む CVE-2025-24813: Apache Tomcat におけるリモートコード実行および情報漏洩の脆弱性

2025/03/25

最近、 Apache Tomcat に新たな脆弱性「CVE-2025-24813」が発見されました。当脆弱性は、リモートコード実行(RCE)、情報漏洩、またはファイルの破損を引き起こす可能性があり、攻撃者が特定の条件を満たすことで、マルウェアの実行やセキュリティ上重要なファイルの閲覧・改ざんが可能になります。Apache Software Foundationは緊急のセキュリティ勧告を発表し、影響を受けるバージョンのユーザーに直ちにセキュリティパッチを適用するよう促しました。今回の記事では、CVE-2025-24813の概要と実際の攻撃事例を紹介し、Criminal IPのIT資産検索を活用してインターネットに公開されているApache Tomcatサーバーを特定する方法と、脆弱性の悪用を防ぐ方法について説明します。

CVE-2025-24813:Path EquivalenceとPartial PUTが原因

Apache Tomcatは、広く使われているオープンソースのウェブアプリケーションサーバーで、CVE-2025-24813はApache Tomcatのパス等価性問題(Path Equivalence)部分的なPUT(Partial PUT)要求機能で発生する脆弱性です。ファイル名(file.Name)のような内部点(dot)を通じてファイルパスを改ざんすることができ、これにより、リモートコード実行や情報流出、悪質なコンテンツがアップロードされたファイルを作成することができます。特に、Tomcatのデフォルトのサーブレット(Default Servlet)で書き込み権限が有効になっている場合、この脆弱性が悪用される可能性があります。

影響を受けるバージョン

Apache Software Foundationは、次のバージョンがCVE-2025-24813の影響を受ける可能性があると発表しました。

  • Apache Tomcat 11:11.0.0-M1から11.0.2まで
  • Apache Tomcat 10:10.1.0-M1から10.1.34まで 
  • Apache Tomcat 9:9.0.0.M1から9.0.98まで 

これらのバージョンは、Partial PUTが有効化されている環境では、当該脆弱性が発生するおそれがあるため、ユーザーはすぐに最新バージョンにアップデートする必要があります。正確なバージョン情報と更新内容は、Apacheの公式セキュリティ通知で確認できます。

攻撃が可能な条件

CVE-2025-24813が悪用された場合、2つの主要な攻撃シナリオが発生する可能性があります。

  1. 情報漏洩とデータ破損:
    • デフォルトのサーブレットで書き込み権限が有効になっている場合
    • Partial PUT対応
    • 機密ファイルのアップロード対象URLが公開アップロードURLのサブディレクトリである場合
    • 攻撃者がアップロードされた機密ファイル名を知っていて、そのファイルがPartial PUTを介してアップロードされた場合
  2. リモートコード実行(RCE):
    • デフォルトのサーブレットで書き込み権限が有効になっている場合
    • Partial PUT対応
    • アプリケーションがTomcatのファイルベースのセッション永続性を使用し、デフォルトの保存場所を使用している場合
    • アプリケーションに逆シリアル化攻撃を適用できる脆弱なライブラリが含まれている場合

これらの条件がすべて満たされた場合、攻撃者はリモートコード実行を通じてサーバーをコントロールしたり、システムにマルウェアを実行することができます。

Criminal IPのIT資産検索を活用した露出した Apache Tomcat サーバーの探索

CVE-2025-24813に脆弱なバージョンとPoCが公開されたので、使用しているApache Tomcatサーバーが脆弱なバージョンであるか、攻撃シナリオの条件を備えているかチェックする必要があります。Apache Tomcatのバージョン情報は、Criminal IPのIT資産検索を活用して簡単に確認することができます。以下の3つのクエリを使用すると、インターネットに公開されているApache Tomcatサーバーを検索することができ、検出されたサーバーのバージョン情報を確認することができます。

外部に公開された Apache Tomcat サーバーの検索クエリ

Criminal IPの検索クエリ:title: Apache Tomcat/9

Criminal IPのIT資産検索で「Title: Apache Tomcat/9」を検索した結果
Criminal IPのIT資産検索で「Title: Apache Tomcat/9」を検索した結果

Criminal IPのIT資産検索で「title: Apache Tomcat/9」を検索した結果、2025年3月19日を基準に、インターネットに公開されている Apache Tomcat/9 サーバーは合計237,907件でした。

Criminal IPの検索クエリ:title: Apache Tomcat/10

Criminal IPのIT資産検索で「Title: Apache Tomcat/10」を検索した結果
Criminal IPのIT資産検索で「Title: Apache Tomcat/10」を検索した結果

Criminal IPのIT資産検索で「title: Apache Tomcat/10」を検索した結果、2025年3月19日を基準に、インターネットに公開されている Apache Tomcat/10 サーバーは合計14,358件でした。

Criminal IPの検索クエリ:title: Apache Tomcat/11

Criminal IPのIT資産検索で「Title: Apache Tomcat/11」を検索した結果
Criminal IPのIT資産検索で「Title: Apache Tomcat/11」を検索した結果

Criminal IPのIT資産検索で「title: Apache Tomcat/11」を検索した結果、2025年3月19日を基準に、インターネットに公開されている Apache Tomcat/11 サーバーは合計3,770件でした。

複数のApache Tomcat脆弱性を保有するIPアドレス、PoCが公開された脆弱性も含まれている
複数のApache Tomcat脆弱性を保有するIPアドレス、PoCが公開された脆弱性も含まれている

Criminal IPのIT資産検索を活用した結果によると、2025年3月19日を基準に、数十万台におよぶApache Tomcatサーバーがインターネット上に露出していることが確認されました。IPアドレスレポートでは、公開されたApache Tomcatサーバーのバージョンを簡単に確認することができ、検出されたサーバーの中には、9.0.33、10.1.7、11.0.0など、先に紹介したCVE-2025-24813に脆弱なバージョンが多数発見されました。特定のIPアドレスレポートを確認してみると、CVE-2025-24813だけでなく、2021年からのApache Tomcat CVEが多数発見されたIPアドレスも発見できました。この中にはGitHub PoCが公開され、脆弱性悪用の可能性が高い脆弱性も含まれていました。

FAQ(よくある質問)

Q1. CVE-2025-24813はすべての Apache Tomcat バージョンに影響しますか?

CVE-2025-24813は、Apache Tomcat 9、10、11の特定のバージョンにのみ影響を及ぼします。 

  • Apache Tomcat 11:11.0.0-M1から11.0.2まで
  • Apache Tomcat 10:10.1.0-M1から10.1.34まで
  • Apache Tomcat 9:9.0.0.M1から9.0.98まで 

詳細なCVE-2025-24813の影響範囲は、Apacheの公式セキュリティ通知で確認できます。

Q2. 追加のセキュリティパッチと緩和措置は何ですか?

Apache Software Foundationは、セキュリティパッチを発表し、脆弱性のあるシステムを運営する組織は、次のような対策を講じてセキュリティを強化することができます。

  • 最新セキュリティアップデートの適用:Apache Tomcatの最新バージョンに即座アップデートする
  • デフォルトサーブレットの書き込み権限の無効化:DefaultServletの書き込み権限を解除し、攻撃ベクトルをブロックする
  • Partial PUT機能の無効化:不要な場合、Partial PUT機能を無効化してセキュリティを強化する
  • ネットワークアクセスの制限:ファイアウォールの設定を調整して外部からApache Tomcat管理インターフェースにアクセスできないように設定する
  • ログ監視と検知の強化:異常なリクエストを検知し、セキュリティイベントにおいて迅速に対応する
  • 攻撃対象領域管理(ASM)の活用:Criminal IP ASMを活用してApache Tomcatの脆弱なバージョンとサーバーの脅威要素を迅速に識別し、脅威を予防する

結論

CVE-2025-24813は、Apache Tomcatサーバーを運営する組織にとって深刻なセキュリティ上の脅威となる可能性があります。したがって、迅速なセキュリティパッチの適用とネットワークアクセスの制限など、事前に予防する対策が必須です。また、サイバー脅威インテリジェンス検索エンジン「Criminal IP」と攻撃対象領域管理ソリューション「Criminal IP ASM」を活用して、継続的な攻撃対象領域の監視と自動検知機能を適用することが重要です。Apache Tomcatのユーザーは、CTIとASMで検知した内容に基づいて迅速に対応し、継続的なセキュリティ状態の確認と脆弱性管理により、同様の脅威を未然に防ぐことが求められます。

関連してMongooseのRCE脆弱性「CVE-2024-53900&CVE-2025-23061」:Mongoose公開によるセキュリティリスクと対策をご参照ください。

データ提供:Criminal IP(https://www.criminalip.io/ja)、ASF security updates(https://tomcat.apache.org/security.html)、Hawkeye(https://hawk-eye.io/2025/03/critical-remote-code-execution-rce-vulnerability-in-apache-tomcat-cve-2025-24813/)、NHS England(https://digital.nhs.uk/cyber-alerts/2025/cc-4633)、NIST(https://nvd.nist.gov/vuln/detail/CVE-2025-24813

ご参照: 

https://www.criminalip.io/ja/knowledge-hub/blog/5246

CVE-2025-24813: Apache Tomcat におけるリモートコード実行および情報漏洩の脆弱性 | Criminal IP(クリミナルアイピー) | Criminal IP