大手サイバーセキュリティー企業Wallarmは、現在サイバー犯罪者に悪用されている重大なリモートコード実行(RCE)の脆弱性CVE-2025-24813を特定した。この脆弱性により、攻撃者はPUT APIリクエストを1回発行するだけで、脆弱なApache Tomcatサーバーを制御できるようになる。このエクスプロイトは、中国のフォーラムでiSee857というユーザーによって最初に公開され、現在オンラインで簡単に入手できる。
このエクスプロイトは、Tomcatのデフォルトのセッション持続メカニズムと部分的なPUTリクエストのサポートを利用する。攻撃プロセスには2つのステップがある。まず、攻撃者はPUTリクエストを介してシリアル化されたJavaセッションファイルをアップロードし、次に、GETリクエストで悪意のあるセッションIDを参照してデシリアル化をトリガーする。このプロセスにより、攻撃者はリモートコードを実行し、サーバーへの完全なアクセス権を取得できる。
このエクスプロイトが特に危険なのは、その単純さと認証を必要としないという事実だ。唯一の前提条件は、Tomcatがファイルベースのセッションストレージを使っていることだ。これは多くの導入で一般的な機能だ。さらに、base64エンコードを使うと、このエクスプロイトはほとんどの従来のセキュリティーフィルターを回避できるため、検出が非常に困難になる。
従来のウェブアプリケーションファイアウォール(WAF)では、PUTリクエストが正常であるように見え、悪意のあるコンテンツが明らかに含まれていないため、この攻撃を検出できないことがよくある。ペイロードはbase64でエンコードされているため、パターンベースの検出ができない。さらに、この攻撃は2段階のプロセスであり、有害な部分はデシリアライズ中にのみ実行される。ほとんどのWAFは、アップロードされたファイルを詳細に検査したり、複数段階のエクスプロイトを追跡したりしないため、組織がログで侵害を検出したときには、手遅れになっていることがよくある。
しかし、WallarmのAPIセキュリティープラットフォームは、これらの脅威を自動的に検出してブロックするように設計されており、手動で調整する必要はない。分析前にbase64ペイロードをデコードし、シリアル化されたJavaオブジェクトを解凍して検査し、マルチステップ攻撃を追跡し、悪意のあるAPIリクエストをリアルタイムでブロックする。このセキュリティーに対するプロアクティブなアプローチにより、難読化が使用されている場合でも、全てのリクエストが詳細に分析され、ペイロードがデコードおよび解凍され、マルチステップ攻撃がブロックされる。
CVE-2025-24813の発見は、組織がセキュリティー戦略を見直す必要があることを浮き彫りにしている。現実には、CVEを待つ、ウェブアプリケーションファイアウォールルールを追加する、脅威を捕捉するためにログに頼るといった事後的なセキュリティー対策ではもはや十分ではない。唯一の効果的な防御策は、脅威が発生したときにそれをブロックするリアルタイムAPIセキュリティーだ。Wallarmを使うと、組織は脅威の曲線を先取りし、エクスプロイトを1つも見逃すことはない。
出典:Wallarm
この製品の詳細については、製品ページをご覧ください。
