Apache Tomcat と Camel が狙わる-複数の危険な脆弱性(CVE‑2025‑24813, CVE‑2025‑27636, CVE‑2025‑29891)

セキュリティニュース

投稿日時: 更新日時:

Apache Tomcat と Camel が狙わる-複数の危険な脆弱性(CVE‑2025‑24813, CVE‑2025‑27636, CVE‑2025‑29891)

2025年3月に公表されたApache TomcatおよびApache Camelに存在する複数の深刻な脆弱性を悪用したサイバー攻撃が、全世界で確認されています。

Palo Alto NetworksのUnit 42によると、公開後すぐに12万件以上のスキャンや攻撃が観測されており、日本国内の企業においても早急な対応が求められます。

Apache Tomcatの脆弱性:CVE-2025-24813

Apache TomcatのHTTPリクエストにおける「パーシャルPUT」機能に関する不具合により、攻撃者が任意のセッションファイルをサーバに書き込むことで、リモートコード実行(RCE)が可能となる脆弱性が報告されました。

対象バージョン:

  • 9.0.0.M1 〜 9.0.98
  • 10.1.0-M1 〜 10.1.34
  • 11.0.0-M1 〜 11.0.2

攻撃手法

  1. シリアライズされた悪意あるコードを含む.sessionファイルをHTTP PUTリクエストでアップロード
  2. JSESSIONIDクッキーを指定したGETリクエストで、Tomcatがキャッシュファイルを読み込み、コードが実行される

攻撃成立には複数の条件(セッション永続化の有効化、readonly設定の無効化など)が必要ですが、PoC(実証コード)が既に公開されており、Nuclei Scannerなどのツールによって自動化された攻撃が行われています。

Apache Camelの脆弱性:CVE-2025-27636 / CVE-2025-29891

Apache Camelでは、HTTPヘッダのフィルタ処理が大文字小文字を区別する点を突かれ、内部コマンドとして認識されるヘッダをすり抜けてしまう問題が発見されました。これにより、Camelコンポーネントが外部からの命令を実行してしまう危険性があります。

攻撃例:

  • CAmelExecCommandExecutableなどのヘッダを使用して、任意のコマンド実行
  • サーバ側でリバースシェルを起動される可能性

攻撃状況と推奨対策

Unit 42の調査では、2025年3月だけで125,856件のスキャンとプロービング攻撃が世界70カ国以上から確認されています。

特にTomcatの攻撃に関しては7,800件超の試行が実際に確認されており、今後も増加が見込まれます。

推奨対策

  • Tomcatの設定でreadonly=true、パーシャルPUTの無効化
  • CamelでのHTTPヘッダフィルタリング強化(大文字小文字含め)
  • 対象バージョンの最新版へのアップデート
  • 攻撃検出用のログ監視・IDS導入

 

参照

https://unit42.paloaltonetworks.com/apache-cve-2025-24813-cve-2025-27636-cve-2025-29891/