Vulnerabilitate RCE în Apache Tomcat exploatată în atacuri

O vulnerabilitate de executare a codului de la distanță (RCE) în Apache Tomcat, identificată drept CVE-2025-24813, este exploatată în mod activ, permițând atacatorilor să preia controlul asupra serverelor cu un simplu request PUT.

Activitatea malițioasă a fost confirmată de specialiști în securitate cibernetică, ce au avertizat că instrumentele de securitate obișnuite nu reușesc să o detecteze, deoarece request-urile PUT par normale, iar conținutul malițios este ascuns folosind codificarea base64.

Mai exact, atacatorul trimite un request PUT ce conține un payload JAVA serializat și codificat base64, salvat în memoria de sesiune a Tomcat.

Atacatorul trimite apoi un reuqest GET cu un cookie JSESSIONID care indică fișierul de sesiune încărcat, determinând Tomcat să deserializeze și să execute codul Java malițios, acordând atacatorului controlul complet.

Atacul nu necesită autentificare și este cauzat de faptul că Tomcat acceptă request-urile PUT parțiale și de persistența sa implicită a sesiunii.

Vulnerabilitatea CVE-2025-24813 afectează Apache Tomcat 11.0.0-M1 la 11.0.2, 10.1.0-M1 la 10.1.34 și 9.0.0.M1 la 9.0.98.

Apache a recomandat ca toți utilizatorii să facă upgrade la versiunile Tomcat 11.0.3+, 10.1.35+ sau 9.0.99+, care sunt remediate împotriva CVE-2025-24813.

Utilizatorii Tomcat pot, de asemenea, să limiteze problema revenind la configurația servlet implicită (readonly=„true”), dezactivând suportul PUT parțial și evitând stocarea fișierelor sensibile din punct de vedere al securității într-un subdirectoriu al rutelor publice de încărcare.

Specialiștii avertizează că problema mai mare evidențiată în acest caz nu este exploatarea în sine, ci potențialul pentru mai multe vulnerabilități RCE rezultate din gestionarea request-ului PUT parțial în Tomcat.

Sursă: https://www.bleepingcomputer.com/news/security/critical-rce-flaw-in-apache-tomcat-actively-exploited-in-attacks/