Een onlangs bekendgemaakte beveiligingsfout van Apache Tomcat is in het wild onder actieve uitbuiting gekomen na de release van een openbare proof-of-concept (POC) slechts 30 uur na openbaarmaking.
De kwetsbaarheid, gevolgd als CVE-2025-24813beïnvloedt de onderstaande versies –
- Apache Tomcat 11.0.0-M1 tot 11.0.2
- Apache Tomcat 10.1.0-M1 tot 10.1.34
- Apache Tomcat 9.0.0-M1 tot 9.0.98
Het betreft een geval van externe code -uitvoering of informatie over informatie wanneer aan specifieke voorwaarden wordt voldaan –
- Schrijft ingeschakeld voor de standaard servlet (standaard uitgeschakeld)
- Ondersteuning voor gedeeltelijke put (standaard ingeschakeld)
- Een doel-URL voor beveiligingsgevoelige uploads die een subdirectory is van een doel-URL voor openbare uploads
- Aanvallerskennis van de namen van beveiligingsgevoelige bestanden die worden geüpload
- De beveiligingsgevoelige bestanden worden ook geüpload via gedeeltelijke put
Succesvolle exploitatie kan een kwaadaardige gebruiker toestaan om beveiligingsgevoelige bestanden te bekijken of willekeurige inhoud in die bestanden te injecteren door middel van een putverzoek.
Bovendien kan een aanvaller externe code -uitvoering bereiken als alle volgende voorwaarden waar zijn –
- Schrijft ingeschakeld voor de standaard servlet (standaard uitgeschakeld)
- Ondersteuning voor gedeeltelijke put (standaard ingeschakeld)
- Toepassing gebruikte Tomcat’s bestandsgebaseerde sessie -persistentie met de standaardopslaglocatie
- Toepassing omvatte een bibliotheek die kan worden gebruikt in een deserialisatie -aanval
In een advies dat vorige week werd vrijgegeven, zeiden de projectbeheerders dat de kwetsbaarheid is opgelost in Tomcat -versies 9.0.99, 10.1.35 en 11.0.3.
Maar in een betreffende wending ziet de kwetsbaarheid al exploitatiepogingen in het wild, per Wallarm.
“Deze aanval maakt gebruik van Tomcat’s standaard sessie persistentie mechanisme, samen met zijn ondersteuning voor gedeeltelijke putverzoeken,” zei het bedrijf.
“De exploit werkt in twee stappen: de aanvaller uploadt een geserialiseerd Java -sessiebestand via putverzoek. De aanvaller activeert deserialisatie door te verwijzen naar de kwaadaardige sessie -ID in een GET -verzoek.”
Anders gezegd, de aanvallen omvatten het verzenden van een putverzoek met een basis van de basis van de basis van de geserialiseerde Java-lading die is geschreven naar de opslagmap van Tomcat, die vervolgens wordt uitgevoerd tijdens deserialisatie door een GET-verzoek te sturen met de JSessionId die naar de kwaadaardige sessie wijst.
Wallarm merkte ook op dat de kwetsbaarheid triviaal is om te exploiteren en geen authenticatie vereist. De enige voorwaarde is dat Tomcat op de sessie-opslag van bestanden gebruikt.
“Terwijl deze exploit sessieopslag misbruikt, is het grotere probleem gedeeltelijk geplaatst in Tomcat, waardoor het mogelijk is om vrijwel elk bestand overal te uploaden,” voegde het eraan toe. “Aanvallers zullen binnenkort beginnen met het verplaatsen van hun tactieken, het uploaden van kwaadaardige JSP -bestanden, het wijzigen van configuraties en het planten van backdoors externe sessieopslag.”
Gebruikers die getroffen versies van Tomcat uitvoeren, wordt geadviseerd om hun instanties zo snel mogelijk bij te werken om potentiële bedreigingen te verminderen.
