Bedreigingsinformatiebedrijf Greynoise heeft gewaarschuwd voor een “gecoördineerde brute-force-activiteit” gericht op Apache Tomcat Manager-interfaces.
Het bedrijf zei dat het op 5 juni 2025 een toename van brute-force en inlogpogingen waarnam, een indicatie dat ze opzettelijke inspanningen zouden kunnen zijn om “op schaal blootgestelde tomcat-diensten te identificeren en te openen”.
Daartoe bleken 295 unieke IP-adressen op die datum betrokken te zijn bij brute-force pogingen tegen Tomcat Manager, met allemaal geclassificeerd als kwaadaardig. In de afgelopen 24 uur zijn 188 unieke IP’s opgenomen, een meerderheid van hen in de Verenigde Staten, het Verenigd Koninkrijk, Duitsland, Nederland en Singapore.
In een vergelijkbare geest werden 298 unieke IP’s waargenomen om inlogpogingen uit te voeren tegen instanties van Tomcat Manager. Van de 246 IP -adressen gemarkeerd in de afgelopen 24 uur, zijn ze allemaal gecategoriseerd als kwaadaardig en zijn afkomstig van dezelfde locaties.
Doelen van deze pogingen zijn de Verenigde Staten, het Verenigd Koninkrijk, Spanje, Duitsland, India en Brazilië voor dezelfde periode. Greynoise merkte op dat een aanzienlijk deel van de activiteit kwam van infrastructuur georganiseerd door DigitalOcean (ASN 14061).
“Hoewel het niet gebonden is aan een specifieke kwetsbaarheid, benadrukt dit gedrag de voortdurende interesse in blootgestelde Tomcat -diensten,” voegde het bedrijf eraan toe. “Breedte, opportunistische activiteit als deze dient vaak als een vroege waarschuwing voor toekomstige uitbuiting.”
Om mogelijke risico’s te verminderen, worden organisaties met blootgestelde Tomcat Manager -interfaces aanbevolen om sterke authenticatie- en toegangsbeperkingen te implementeren en te controleren op tekenen van verdachte activiteiten.
De openbaarmaking komt toen Bitsight onthulde dat het meer dan 40.000 beveiligingscamera’s openlijk toegankelijk vond op internet, waardoor iemand mogelijk toegang heeft tot live videofeeds die door deze apparaten zijn vastgelegd via HTTP of realtime streaming protocol (RTSP). De blootstellingen zijn geconcentreerd in de Verenigde Staten, Japan, Oostenrijk, Tsjechië en Zuid -Korea.
De telecommunicatiesector is goed voor 79%van de blootgestelde camera’s, gevolgd door technologie (6%), media (4,1%), nutsbedrijven (2,5%), onderwijs (2,2%), zakelijke diensten (2,2%) en de overheid (1,2%).
De installaties variëren van die geïnstalleerd in woningen, kantoren, openbaar vervoersystemen en fabrieksinstellingen, en lekken onbedoeld gevoelige informatie die vervolgens kan worden benut voor spionage, stalking en afpersing.
Gebruikers wordt geadviseerd om standaard gebruikersnamen en wachtwoorden te wijzigen, externe toegang uit te schakelen als ze niet vereist zijn (of de toegang met firewalls en VPN’s beperken) en firmware up-to-date houden.
“Deze camera’s – bedoeld voor beveiliging of gemak – zijn onbedoeld openbare vensters in gevoelige ruimtes geworden, vaak zonder kennis van hun eigenaren,” zei beveiligingsonderzoeker João Cruz in een rapport dat werd gedeeld met The Hacker News.
“Ongeacht de reden waarom een persoon of organisatie dit soort apparaten nodig heeft, het feit dat iemand er een kan kopen, het kan aansluiten en streaming met minimale opstelling is waarschijnlijk waarom dit nog steeds een voortdurende dreiging is.”
