Stealthy Apache Tomcat Критическая эксплуатация обходит фильтры безопасности: вы рискуете?

Apache Tomcat подвергается атаке, поскольку киберпреступники активно используют недавно раскрытую уязвимость, что позволяет удалить выполнение кода (RCE). С помощью простых HTTP -запросов злоумышленники могут запустить десериализацию вредоносных данных и контролировать затронутые системы.

Уязвимость, CVE-2025-24813, была раскрыта Apache 10 марта, причем первое доказательство концепции было выпущено на GitHub примерно через 30 часов, опубликованное пользователем ISEE857. Вскоре после этого компания Security Wallarm позже увидела, что это используется в дикой природе, предупреждая, что атаки не обнаруживаются для традиционных фильтров безопасности, поскольку HTTP-запросы кажутся нормальными, а вредоносные полезные нагрузки-базовые 64-кодируемые.

Во -первых, злоумышленник отправляет запрос PUT, содержащий кодированную сериализованную полезную нагрузку Java, которая затем записывается в хранилище сессии Tomcat и автоматически сохраняется в файле. Затем они отправляют запрос GET с JSessionId Cookie, указывающим на злой сессию.

Когда Tomcat обрабатывает этот запрос, он понижает данные сеанса без надлежащей проверки, выполняя встроенный код злонамеренного Java и предоставляя атакующего полный удаленный доступ.

См.: Как использовать веб -сервер Apache для установки и настройки веб -сайта

Какие версии Apache Tomcat уязвимы?

Для этого не требуется аутентификация, но, согласно примечанию безопасности Apache, следующее должно быть верно для уязвимого приложения Tomcat:

Записи включены для сервлета по умолчанию Включена поддержка запроса на частичное положение Tomcat включает в себя библиотеку, которая может быть использована в атаках десериализации В местоположении хранилища по умолчанию используется стойкость сеанса на основе файлов

Помимо удаленного выполнения кода, уязвимость может позволить злоумышленникам просматривать или внести изменения, чувствительные к безопасности, если выполнены следующие условия:

Записи включены для сервлета по умолчанию Включена поддержка запроса на частичное положение Чувствительные к безопасности файлы хранятся в общедоступном каталоге и были загружены частичным путем Злоумышленник знает имена файлов

С этими условиями выполнены, следующие версии Tomcat все уязвимы:

Apache Tomcat 11.0.0-M1 до 11.0.2 Apache Tomcat 10.1.0-M1 до 10.1.34 Apache Tomcat 9.0.0.m1 до 9.0.98

Смягчение: как защитить вашу систему

Чтобы смягчить уязвимость, Apache рекомендует пользователям обновление до версий Tomcat 11.0.3 или более поздней версии, 10.1.35 или более поздней версии, или 9.0.99 или более поздней, соответственно, так как все они достаточно исправлены. В качестве альтернативы пользователи могут отключить частичную поддержку, отключить записи для сервлета по умолчанию и избегать хранения чувствительных к безопасности файлов в каталогах, которые общедоступны.

Исследователи Wallarm предупреждают, что эта уязвимость подчеркивает возможность появления других недостатков безопасности из -за обработки Tomcat с частичными запросами PUT, «что позволяет загружать практически любой файл в любом месте».

«Вскоре злоумышленники начнут смещать свою тактику, загружать вредоносные файлы JSP, изменять конфигурации и посадить бэкдоры вне сессии», - написали они в блоге. «Это только первая волна».