Stručnjaci za bezbjednost potvrdili su da se kritična ranjivost daljinskog izvršavanja koda (RCE) u Apache Tomcat-u, evidentirana kao CVE-2025-24813, aktivno iskorištava.
Ranjivost, koja omogućava napadačima da preuzmu kontrolu nad serverima pomoću jednostavnog PUT zahtjeva, otkrivena je prošle sedmice, a dokaz koncepta (PoC) pojavio se na GitHub-u samo 30 sati kasnije.
Ovaj kritični propust pogađa više verzija Apache Tomcat-a: od 11.0.0-M1 do 11.0.2, od 10.1.0-M1 do 10.1.34 i od 9.0.0.M1 do 9.0.98. Prvi put je otkriven od strane Apache-a 10. marta 2025. godine, a napadačima omogućava pregled i ubrizgavanje proizvoljnog sadržaja u bezbjednosno osjetljive fajlove pod određenim uslovima.
Istraživači iz kompanije Wallarm potvrdili su pokušaje aktivne eksploatacije, upozoravajući da tradicionalni bezbjednosni alati ne uspijevaju da detektuju ove napade jer PUT zahtjevi izgledaju legitimno, a maliciozni sadržaj je maskiran base64 kodiranjem.
Mehanizam eksploatacije
Napad koristi podrazumijevani mehanizam sesijske perzistencije u Tomcat-u, zajedno sa podrškom za parcijalne PUT zahtjeve, u procesu koji se odvija u dva koraka:
Korak 1: Otpremanje malicioznog koda: Napadač šalje PUT zahtjev sa base64-kodiranim serijalizovanim Java sadržajem, koji se čuva u Tomcat-ovoj sesijskoj memoriji. Ovaj zahtjev izgleda bezopasno za većinu bezbjednosnih filtera, jer je maliciozni sadržaj skriven putem kodiranja.
Korak 2: Pokretanje izvršenja: Nakon što je maliciozni fajl otpremljen, napadač šalje GET zahtjev sa JSESSIONID kolačićem koji upućuje na otpremljeni sesijski fajl. Ovo prisiljava Tomcat da deserializuje i izvrši maliciozni Java kod, omogućavajući napadaču potpunu kontrolu nad sistemom.
“Ovaj napad je krajnje jednostavan za izvođenje i ne zahtijeva autentifikaciju,” navode istraživači iz Wallarm-a. “Jedini preduslov je da Tomcat koristi skladištenje sesija na fajl sistemu, što je često u mnogim implementacijama.”
Zašto tradicionalni bezbjednosni alati ne prepoznaju napad?
Tradicionalni Web Application Firewall-ovi (WAF) teško detektuju ovaj napad iz više razloga:
- Početni PUT zahtjev izgleda legitimno, bez očiglednih malicioznih potpisa;
- Base64 kodiranje omogućava da maliciozni sadržaj zaobiđe prepoznavanje obrazaca;
- Napad se odvija u više koraka, a izvršenje se događa tokom deserializacije;
- Većina bezbjednosnih alata ne analizira detaljno otpremljene fajlove niti prati višestepene napade.
Korisnik iSee857 kreirao je GitHub repozitorijum koji sadrži kod za eksploataciju. Repozitorijum uključuje Python skriptu koja može provjeriti ranjivost na više meta.
Mjere zaštite
Apache preporučuje svim korisnicima da ažuriraju Tomcat na verzije 11.0.3+, 10.1.35+ ili 9.0.99+, koje sadrže zakrpe za CVE-2025-24813.
Za organizacije koje trenutno ne mogu da izvrše ažuriranje, alternativne mjere zaštite uključuju:
- Povratak na podrazumijevanu konfiguraciju servlet-a (readonly=”true”);
- Isključivanje podrške za parcijalne PUT zahtjeve;
- Izbjegavanje skladištenja osjetljivih fajlova u poddirektorijumima javnih putanja za otpremanje fajlova.
Stručnjaci za bezbjednost upozoravaju da je ovo vjerovatno samo početak, jer će napadači uskoro razviti sofisticiranije metode. “Napadači će uskoro početi da mijenjaju taktiku, otpremajući maliciozne JSP fajlove, mijenjajući konfiguracije i postavljajući backdoor-ove izvan sesijskog skladišta. Ovo je samo prvi talas,” upozorava Wallarm.
Brza eksploatacija ove ranjivosti naglašava ključnu važnost proaktivnih bezbjednosnih mjera i blagovremenog ažuriranja u današnjem sajber okruženju.
Izvor: CybersecurityNews