Apache Tomcat je napadnut jer cyber -kriminalci aktivno iskorištavaju nedavno otkrivenu ranjivost, omogućujući daljinsko izvršavanje koda (RCE). Pomoću jednostavnih HTTP zahtjeva, napadači mogu pokrenuti deserijalizaciju zlonamjernih podataka i dobiti kontrolu nad pogođenim sustavima.
Ranjivost, CVE-2025-24813otkrio je Apache 10. ožujka, uz Prvi dokaz koncepta Objavljivanje na GitHub oko 30 sati kasnije, objavio je korisnik ISEE857. Ubrzo nakon toga, sigurnosna tvrtka Wallarm kasnije je vidjela da se to utječe na divljinu, upozoravajući da su napadi neotkriveni tradicionalnim sigurnosnim filtrima, jer se HTTP zahtjevi čine normalnim, a zlonamjerni teret u korisnom opterećenju su kodirani na bazi64.
Prvo, napadač šalje zahtjev za stavljanje koji sadrži kodirani, serializirani Java korisni teret, koji je potom napisano u Tomcatovoj sesijskoj pohrani i automatski spreman u datoteku. Zatim šalju zahtjev za get s JsessionID kolačićem koji upućuje na zlonamjernu sesiju.
Kada Tomcat obradi ovaj zahtjev, on deserializira podatke o sesiji bez odgovarajuće provjere valjanosti, izvršavanja ugrađenog zlonamjernog Java koda i davanje napadača puni daljinski pristup.
Koje su verzije Apache Tomcat ranjive?
Za to nije potrebna provjera autentičnosti, ali prema Apacheovom sigurnosna napomenaSljedeće mora biti istinito da bi aplikacija Tomcat bila ranjiva:
- Pisanja su omogućena za zadani servlet
- Podrška za djelomičnu statu je omogućena
- Tomcat uključuje knjižnicu koja bi se mogla iskoristiti u napadima deserializacije
- Zadana mjesta za pohranu koristi upornost na sesiji temeljenu na datoteci
Kao i iskorištavanje daljinskog koda, ranjivost može omogućiti napadačima da pregledaju ili izmijeni datoteke osjetljive na sigurno, ako su ispunjeni sljedeći uvjeti:
- Pisanja su omogućena za zadani servlet
- Podrška za djelomičnu statu je omogućena
- Datoteke osjetljive na sigurnost pohranjuju se u javno dostupnom direktoriju i prenesene su ga djelomičnim
- Napadač poznaje imena datoteka
S ovim ispunjenim uvjetima, sljedeće verzije Tomcat -a sve su ranjive:
- Apache Tomcat 11.0.0-m1 do 11.0.2
- Apache Tomcat 10.1.0-m1 do 10.1.34
- Apache Tomcat 9.0.0.m1 do 9.0.98
Ublažavanje: Kako zaštititi svoj sustav
Za ublažavanje ranjivosti, Apache preporučuje nadogradnju korisnika na TomCAT verzije 11.0.3 ili novijih, 10.1.35 ili novijih, odnosno 9.0.99, odnosno, jer su sve to dovoljno zakrpane. Alternativno, korisnici mogu isključiti djelomičnu podršku, onesposobiti piše za zadani servlet i izbjegavati pohranu datoteka osjetljivih na sigurnost u direktorijima koji su javno dostupni.
Istraživači Wallarma upozoravaju da ova ranjivost ističe mogućnost ostalih sigurnosnih nedostataka koji se pojavljuju zbog Tomcatovog postupanja s djelomičnim zahtjevima “što omogućava prijenos bilo koje datoteke bilo gdje”.
“Napadači će uskoro početi mijenjati svoje taktike, prenositi zlonamjerne JSP datoteke, modificirati konfiguracije i saditi zaostatak izvan pohrane sesije”, napisali su u a blog blog. “Ovo je samo prvi val.”