Vulnerabilità Apache Tomcat CVE-2025-55752 e 55754: rischio critico

Le vulnerabilità di sicurezza in Apache Tomcat rappresentano sempre una seria minaccia per le infrastrutture aziendali, e le recenti CVE-2025-55752 e CVE-2025-55754 non fanno eccezione. Divulgate il 27 ottobre 2025, queste falle di sicurezza colpiscono un ampio spettro di versioni, dalla 9.0.0-M11 alla 11.0.10, mettendo a rischio milioni di server in tutto il mondo. La criticità di queste vulnerabilità richiede un’azione immediata da parte degli amministratori di sistema per proteggere le proprie infrastrutture.

CVE-2025-55752: La pericolosa vulnerabilità di Path Traversal

La CVE-2025-55752 rappresenta una delle minacce più gravi per Apache Tomcat. Questa vulnerabilità di path traversal è particolarmente insidiosa perché è stata introdotta ironicamente da una correzione di sicurezza precedente, dimostrando quanto sia complesso mantenere la sicurezza nei sistemi software complessi.

Come funziona la vulnerabilità

Il meccanismo di questa vulnerabilità permette agli attaccanti di:

• Bypassare i vincoli di sicurezza su URL riscritti
• Accedere a file e directory normalmente protetti
• Sfruttare configurazioni con HTTP PUT abilitato per ottenere esecuzione di codice remoto

La criticità aumenta significativamente quando HTTP PUT è abilitato sul server. In questi casi, un attaccante può caricare file malevoli e ottenere l’esecuzione di codice remoto (RCE), compromettendo completamente il sistema target.

Configurazioni a rischio

Sebbene HTTP PUT sia normalmente disabilitato per impostazione predefinita, molte configurazioni personalizzate potrebbero averlo abilitato per specifiche esigenze applicative. È fondamentale verificare immediatamente le proprie configurazioni per identificare potenziali esposizioni.

CVE-2025-55754: Manipolazione della console Windows

La CVE-2025-55754 presenta un vettore di attacco diverso ma altrettanto preoccupante. Questa vulnerabilità riguarda l’iniezione di sequenze di escape ANSI nei log della console sui sistemi Windows, aprendo la strada a sofisticate tecniche di social engineering.

Rischi della manipolazione della console

Gli attaccanti possono sfruttare questa vulnerabilità per:

• Manipolare l’output della console per nascondere attività malevole
• Iniettare contenuti nella clipboard dell’amministratore
• Creare output fuorvianti che possono indurre errori operativi
• Facilitare attacchi di phishing mirati agli amministratori di sistema

Anche se meno critica in termini di impatto diretto, questa vulnerabilità può essere utilizzata come parte di catene di attacco più complesse.

Versioni interessate e impatto sul parco installato

L’ampio spettro di versioni interessate rende queste vulnerabilità particolarmente problematiche. Le versioni colpite includono:

• Apache Tomcat 9.x: dalla 9.0.0-M11 alla 9.0.108
• Apache Tomcat 10.x: fino alla versione 10.1.44
• Apache Tomcat 11.x: fino alla versione 11.0.10

È importante notare che molte delle versioni interessate sono ormai fuori dal ciclo di vita ufficiale, ma continuano ad essere utilizzate in ambienti di produzione legacy, aumentando il rischio complessivo.

Soluzioni e misure di mitigazione immediate

Apache ha risposto prontamente alle vulnerabilità rilasciando patch efficaci. La priorità assoluta per tutti gli amministratori è l’aggiornamento immediato alle versioni corrette.

Versioni sicure da installare

Le versioni che risolvono entrambe le vulnerabilità sono:

• Apache Tomcat 9.0.109 o successive
• Apache Tomcat 10.1.45 o successive
• Apache Tomcat 11.0.11 o successive

Misure aggiuntive di hardening

Oltre all’aggiornamento, è consigliabile implementare le seguenti misure di sicurezza:

• Disabilitare HTTP PUT: Se non strettamente necessario per le applicazioni
• Limitare l’accesso alla console: Consentire l’accesso solo ad amministratori fidati
• Monitoraggio dei log: Implementare sistemi di monitoraggio per rilevare tentativi di sfruttamento
• Segmentazione di rete: Isolare i server Tomcat in segmenti di rete protetti

Implicazioni per la sicurezza aziendale

Queste vulnerabilità rappresentano un rischio critico per le infrastrutture aziendali che dipendono da Apache Tomcat. Le conseguenze di un eventuale sfruttamento possono includere:

• Compromissione completa dei server web
• Accesso non autorizzato a dati sensibili
• Potenziali violazioni della privacy e conformità normativa
• Interruzioni del servizio e perdite economiche
• Danni reputazionali significativi

La rapidità di intervento è fondamentale: ogni giorno di ritardo nell’applicazione delle patch aumenta esponenzialmente il rischio di compromissione. Gli amministratori dovrebbero trattare questi aggiornamenti come emergenze di sicurezza, pianificando finestre di manutenzione straordinarie se necessario.

In conclusione, le vulnerabilità CVE-2025-55752 e CVE-2025-55754 sottolineano ancora una volta l’importanza di mantenere sempre aggiornati i componenti software critici. La disponibilità di patch efficaci da parte di Apache fornisce la soluzione immediata, ma la responsabilità dell’implementazione tempestiva rimane nelle mani degli amministratori di sistema. Solo attraverso un approccio proattivo alla sicurezza è possibile proteggere efficacemente le infrastrutture aziendali moderne.