Krytyczna podatność w środowisku Apache Tomcat
CSIRT CeZ ostrzega: krytyczna podatność w środowisku Apache Tomcat. Podatność może zostać wykorzystana przez zdalnego atakującego. Umożliwia przeprowadzenie ataku socjotechnicznego poprzez manipulację komunikatami wyświetlanymi w konsoli. Ze względu na niski poziom złożoności ataku oraz wysokie ryzyko wpływu na poufność, integralność i dostępność systemów, zaleca się pilne działania naprawcze.
Charakterystyka podatności
- Oznaczenie: CVE-2025-55754
- Score CVSS: 9,6 (Critical)
Podatność polega na braku odpowiedniego filtrowania sekwencji sterujących ANSI w danych logowanych przez Apache Tomcat. Sekwencje ANSI mogą wpływać na sposób wyświetlania tekstu w terminalu – np. zmieniać kolory, pozycję kursora, a nawet kopiować dane do schowka. W efekcie możliwe jest:
- wyświetlenie zmanipulowanego komunikatu w konsoli administratora
- nakłonienie użytkownika do wykonania złośliwego polecenia
- eskalacja uprawnień lub dostęp do poufnych danych
- zakłócenie działania systemu poprzez manipulację interfejsem terminalowym
Podatne systemy
- Apache Tomcat 11.0.0-M1 do 11.0.10 włącznie
- Apache Tomcat 10.1.0-M1 do 10.1.44 włącznie
- Apache Tomcat 9.0.0.40 do 9.0.108 włącznie
Starsze wersje, wycofane z eksploatacji, również mogą być podatne
Działania zapobiegawcze
Zalecamy niezwłoczne zaktualizowanie środowiska do wersji wolnych od podatności:
- Tomcat 11, podatne wersje: 11.0.0-M1 – 11.0.10, aktualizacja do wersji 11.0.11 lub nowszej
- Tomcat 10.1, podatne wersje: 10.1.0-M1 – 10.1.44, aktualizacja do wersji 10.1.45 lub nowszej
- Tomcat 9.0, podatne wersje: 9.0.0.40 – 9.0.108, aktualizacja do wersji 9.0.109 lub nowszej
Dodatkowe zalecenia
- zweryfikuj, czy wykorzystywane wersje Tomcat są podatne
- wdróż poprawki bezpieczeństwa zgodnie z zaleceniami producenta
- monitoruj logi systemowe pod kątem nietypowych komunikatów ANSI
- ogranicz dostęp do konsoli administracyjnej tylko do zaufanych użytkowników
- przeprowadzaj regularne testy bezpieczeństwa środowiska serwerowego
Źródło