Hakeri aktivno iskorištavaju Apache Tomcat servere eksploatišući CVE-2025-24813

Hakeri aktivno iskorištavaju kritičnu ranjivost u Apache Tomcat-u, praćenu kao CVE-2025-24813 , koja bi mogla omogućiti neovlašteno daljinsko izvršavanje koda (RCE) na ranjivim serverima. 

Ranjivost, koja je prvi put otkrivena 10. marta 2025., već je imala pokušaje eksploatacije koji su počeli samo 30 sati nakon javnog objavljivanja koda za dokaz koncepta (PoC).

GreyNoise Intelligence je  identifikovao  četiri jedinstvene IP adrese koje pokušavaju da iskoriste ovu ranjivost od 17. marta 2025. godine, a pokušaji eksploatacije primjećeni su već 11. marta. 

Ovi napadači koriste djelomičnu PUT metodu za ubacivanje malicioznog opterećenja, što bi potencijalno moglo dovesti do izvršenja proizvoljnog koda na pogođenim sistemima.

“Eksploatacija je već u toku, a pokušaji napada obuhvataju više zemalja. Imajući u vidu široko rasprostranjeno korišćenje Apache Tomcat-a, ovi rani znaci aktivnosti ukazuju na to da će vjerovatno uslediti još eksploatacije”, upozorili su istraživači bezbednosti.

Apache Tomcat ranjivost – CVE-2025-24813

Osnovni uzrok CVE-2025-24813 leži u tome kako Apache Tomcat rukuje putanjama datoteka tokom djelimičnih PUT zahteva. 

Kada korisnik otpremi datoteku, Tomcat kreira privremenu datoteku koristeći dato ime datoteke i putanju, zamjenjujući razdjelnike putanja tačkama. 

Ovaj pristup, prvobitno zamišljen kao sigurnosna mjera protiv prelaska putanje, nehotice je otvorio novu ranjivost.

Eksploatacija uključuje dva primarna koraka: prvo, napadač šalje PUT zahtjev za otpremanje kreirane datoteke Java sesije, manipulišući imenom datoteke i putanjom kako bi iskoristio ranjivost ekvivalentnosti putanje. 

Drugo, napadač pokreće deserializaciju prenesene datoteke sesije slanjem GET zahtjeva koji upućuje na maliciozni ID sesije, što potencijalno dovodi do udaljenog izvršavanja koda.

Ranjivost utiče na više verzija Apache Tomcat-a:

• Apache Tomcat 11.0.0-M1 do 11.0.2
• Apache Tomcat 10.1.0-M1 do 10.1.34
• Apache Tomcat 9.0.0-M1 do 9.0.98

Sažetak ranjivosti je dat u nastavku:

Pokušaji eksploatacije i ciljane regije 

Geografska analiza pokazuje da je većina pokušaja eksploatacije ciljana na sisteme u Sjedinjenim Državama , Japanu, Indiji, Južnoj Koreji i Meksiku, pri čemu je preko 70% sesija usmjereno na sisteme bazirane na SAD-u. 

Istraživači su primijetili početne pokušaje eksploatacije IP-a sa sjedištem u Latviji 18. marta, nakon čega su 19. marta uslijedili odvojeni pokušaji IP-ova praćenih do Italije, Sjedinjenih Država i Kine.

Za uspješnu eksploataciju, nekoliko konfiguracija mora biti istinito:

• Omogućeno pisanje za zadani servlet (onemogućeno prema zadanim postavkama)
• Podrška za djelomični PUT (omogućeno prema zadanim postavkama)
• Aplikacija koja koristi Tomcat-ovu postojanost sesije zasnovanu na fajlovima sa zadanom lokacijom za pohranu
• Aplikacija koja uključuje biblioteku koja se može iskoristiti u napadu deserijalizacije

Ublažavanja

Da bi se zaštitile od CVE-2025-24813, organizacije koje koriste zahvaćene verzije Apache Tomcat-a trebale bi:

• Odmah primijenite najnovije sigurnosne zakrpe
• Nadgledajte neočekivane PUT zahtjeve u evidencijama web servera
• Postavite pravila zaštitnog zida za web aplikacije (WAF) za blokiranje malicioznih korisnih podataka
• Pratite aktivnost eksploatacije u stvarnom vremenu i blokirajte zlonamjerne IP adrese

Nacionalni CSOC NHS Engleske procijenio je da se “nastavak eksploatacije ove ranjivosti smatra vrlo vjerovatnim”. 

Organizacije se pozivaju da odmah procijene svoje Apache Tomcat implementacije i primjene zakrpe za ublažavanje potencijalnih RCE rizika.

Iako je ranjivost ozbiljna, specifični zahtjevi konfiguracije čine malo vjerovatnom široku eksploataciju za pravilno održavane sisteme.

Izvor: CyberSecurityNews