Ευπάθεια στο Apache Tomcat γίνεται αντικείμενο εκμετάλλευσης μόλις 30 ώρες μετά την αποκάλυψή της

Μια σοβαρή απειλή για την κυβερνοασφάλεια

Σε μια πρόσφατη εξέλιξη που έχει ανησυχήσει την κοινότητα της κυβερνοασφάλειας, η νέα ευπάθεια στο Apache Tomcat (CVE-2025-24813) άρχισε να αξιοποιείται ενεργά από κακόβουλους παράγοντες μόλις 30 ώρες μετά τη δημόσια γνωστοποίησή της. Το γεγονός αυτό υποδεικνύει πόσο σημαντικό είναι για τους διαχειριστές συστημάτων να αναβαθμίσουν άμεσα τα περιβάλλοντά τους, προτού καταστούν ευάλωτα σε επιθέσεις.

Ποιες εκδόσεις επηρεάζονται

Η συγκεκριμένη ευπάθεια επηρεάζει τις ακόλουθες εκδόσεις του Apache Tomcat:

• 11.0.0-M1 έως 11.0.2
• 10.1.0-M1 έως 10.1.34
• 9.0.0-M1 έως 9.0.98

Συνθήκες εκμετάλλευσης

Σύμφωνα με την ανάλυση, το κενό ασφαλείας επιτρέπει σε έναν επιτιθέμενο να χρησιμοποιήσει τεχνικές όπως remote code execution ή information disclosure, ειδικά αν πληρούνται οι ακόλουθες προϋποθέσεις:

• Writes enabled για το default servlet (απενεργοποιημένο από προεπιλογή)
• Support for partial PUT (ενεργοποιημένο από προεπιλογή)
• Ύπαρξη URL υπο-καταλόγου για security sensitive uploads κάτω από URL δημόσιων uploads
• Γνώση των επιτιθέμενων για τα ονόματα των αρχείων που ανεβαίνουν στα security sensitive uploads
• Δυνατότητα εκμετάλλευσης partial PUT για τα αρχεία αυτά

Τρόπος εκμετάλλευσης

Οι ερευνητές ασφαλείας από την Wallarm αναφέρουν ότι η επίθεση γίνεται μέσω του μηχανισμού session persistence του Tomcat. Συγκεκριμένα, η τεχνική περιλαμβάνει:

1. Αποστολή PUT request που περιλαμβάνει Base64-encoded serialized Java payload, το οποίο αποθηκεύεται στον session storage κατάλογο του Tomcat.
2. Αποστολή GET request που χρησιμοποιεί το κακόβουλο JSESSIONID, προκαλώντας τη deserialization του payload.

Το πρόβλημα επιδεινώνεται από το γεγονός ότι η επίθεση δεν απαιτεί authentication, ενώ το partial PUT handling επιτρέπει σχεδόν οποιοδήποτε αρχείο να ανεβεί σε οποιοδήποτε σημείο.

Αναμενόμενες εξελίξεις και νέες απειλές

Οι ειδικοί προειδοποιούν ότι οι επιθέσεις θα κλιμακωθούν, καθώς οι δράστες θα αναζητήσουν νέους τρόπους εκμετάλλευσης, όπως:

• Μεταφόρτωση malicious JSP αρχείων
• Τροποποίηση ρυθμίσεων
• Εγκατάσταση backdoors έξω από το session storage

Επιπλέον, αναμένεται η εμφάνιση εξελιγμένων persistence μηχανισμών, που θα δυσκολεύουν τον εντοπισμό των επιθέσεων.

Προτεινόμενα μέτρα προστασίας

• Ενημερώστε τον Apache Tomcat στις τελευταίες εκδόσεις (9.0.99, 10.1.35 ή 11.0.3).
• Απενεργοποιήστε το writes enabled στο default servlet, αν δεν είναι απαραίτητο.
• Απενεργοποιήστε το support for partial PUT, αν δεν έχετε ανάγκη για αυτή τη λειτουργία.
• Διαχωρίστε με ασφάλεια τα public uploads από τα security sensitive uploads.
• Αντικαταστήστε το file-based session storage με αποθήκευση σε βάση δεδομένων.
• Χρησιμοποιήστε συστήματα ανίχνευσης εισβολών (IDS/IPS) για παρακολούθηση ύποπτης δραστηριότητας.

Η ταχύτητα διάδοσης πληροφοριών για τέτοιου είδους zero-day ευπάθειες επιταχύνει τη δράση των επιτιθέμενων. Γι’ αυτό, η άμεση εγκατάσταση ενημερώσεων και η προληπτική ασφάλεια είναι κρίσιμες.

---

Πηγές: TheHackerNews