Kritične ranjivosti u Apache Tomcat-u i Apache Camel-u aktivno iskorištavaju cyberkriminalci širom svijeta. Istraživači sigurnosti dokumentovali su preko 125.000 pokušaja napada u više od 70 zemalja od trenutka njihovog otkrivanja u martu 2025. godine.
Tri ranjivosti – CVE-2025-24813 koja pogađa Apache Tomcat, te CVE-2025-27636 i CVE-2025-29891 koje utiču na Apache Camel – omogućavaju izvršavanje koda na daljinu (RCE) i predstavljaju značajan rizik za organizacije koje koriste ove široko rasprostranjene platforme zasnovane na Javi.
Apache Tomcat, popularna serverska platforma koja omogućava web aplikacije zasnovane na Javi, ranjiv je putem CVE-2025-24813. Ova ranjivost utiče na verzije od 9.0.0.M1 do 9.0.98, 10.1.0-M1 do 10.1.34, te 11.0.0-M1 do 11.0.2.
Problem iskorištava djelimičnu PUT funkcionalnost Tomcat-a u kombinaciji sa mogućnostima perzistencije sesije. Ovo omogućava napadačima manipulaciju serijalizovanim datotekama sesije i postizanje izvršavanja proizvoljnog koda.
Apache Camel, okvir za integraciju koji služi povezivanju različitih sistema, pogođen je dvjema povezanim ranjivostima koje napadačima omogućavaju zaobilaženje mehanizama filtriranja zaglavlja (header filtering) putem tehnika manipulacije osjetljivih na velika i mala slova.
Istraživači iz kompanije Palo Alto Networks primijetili su značajan porast pokušaja iskorištavanja odmah nakon javnog objavljivanja ranjivosti, s vrhuncem učestalosti napada u prvoj sedmici marta 2025. godine. Telemetrijski sistemi ove kompanije blokirali su 125.856 upita, skeniranja i pokušaja iskorištavanja, uključujući 7.859 ciljanih specifično na Tomcat ranjivost.
Analiza obrazaca napada ukazuje na prisustvo kako automatizovanih alata za skeniranje, tako i aktivnih pokušaja iskorištavanja, pri čemu mnogi napadi koriste javno dostupan framework Nuclei Scanner. Situacija u pogledu prijetnji brzo se razvijala od prvobitnih objava, s objavljivanjem eksploatacijskih kodova (proof-of-concept) ubrzo nakon što je Apache objavio sigurnosne zakrpe.
Jednostavnost iskorištavanja smanjila je prepreke za manje sofisticirane aktere prijetnji, čineći ove ranjivosti posebno opasnim za organizacije koje nisu primijenile potrebna ažuriranja.
**Mehanizam iskorištavanja Tomcat-ovog djelimičnog PUT-a**
Ranjivost CVE-2025-24813 koristi sofisticirani dvostepeni proces napada koji iskorištava način na koji Tomcat obrađuje djelimične PUT zahtjeve sa Content-Range zaglavljima. Napadači prvo postave svoj zlonamjerni teret slanjem HTTP PUT zahtjeva koji sadrži serijalizovani zlonamjerni kod. Naziv datoteke završava sa „.session“ kako bi se osiguralo ispravno keširanje od strane mehanizma perzistencije sesije Tomcat-a.
Početno postavljanje tereta zahtijeva određene konfiguracije servera, uključujući onemogućen parametar `readonly` i omogućenu perzistenciju sesije. Kada su ovi uslovi ispunjeni, Tomcat pohranjuje serijalizovani kod napadača na dvije lokacije: u datoteku normalnog keša unutar direktorijuma `webapps` i u privremenu datoteku sa vodećom tačkom u direktorijumu `work`. Proces iskorištavanja se završava kada napadač pošalje naknadni HTTP GET zahtjev koji sadrži pažljivo kreiranu vrijednost JSESSIONID cookie-ja, što pokreće deserializaciju keširanog zlonamjernog koda.