Ssylka

Эксплуатация уязвимости Apache Tomcat за 30 часов

Уязвимость CVE-2025-24813 активно эксплуатируется всего через 30 часов после её публичного раскрытия, что вызывает серьёзное беспокойство в сообществе специалистов по информационной безопасности.
Эксплуатация уязвимости Apache Tomcat за 30 часов
Изображение носит иллюстративный характер

Обнаруженная уязвимость позволяет злоумышленникам осуществлять удалённое выполнение кода или получать доступ к конфиденциальной информации при соблюдении определённых условий, связанных с обработкой HTTP-запросов PUT.

Проблема затрагивает следующие версии Apache Tomcat: 11.x – от 11.0.0-M1 до 11.0.2, 10.x – от 10.1.0-M1 до 10.1.34 и 9.x – от 9.0.0-M1 до 9.0.98. Исправлены версии 11.0.3, 10.1.35 и 0.99, устраняющие выявленную уязвимость.

Для успешной эксплуатации необходимо, чтобы возможность записи была включена для стандартного сервлета (по умолчанию отключена), а поддержка частичных PUT-запросов оставалась активной (по умолчанию включена). Злоумышленнику также требуется знание имён конфиденциальных файлов, загружаемых в защищённый каталог, являющийся подкаталогом публичного каталога загрузок, при условии использования частичного PUT для их передачи.

Как поясняет анализ компании Wallarm, атака использует механизм сохранения сессий по умолчанию совместно с поддержкой частичных PUT-запросов. Сначала злоумышленник отправляет PUT-запрос на загрузку сериализованного Java-файла сессии, закодированного в Base64, после чего GET-запрос с указанным идентификатором JSESSIONID вызывает десериализацию и исполнение вредоносного кода.

Этот метод позволяет не только просматривать файлы с повышенной степенью конфиденциальности, но и внедрять в них произвольное содержимое без прохождения аутентификации при использовании файлового хранения сессий. Дополнительно, уязвимость открывает возможность для дальнейших атак, таких как загрузка вредоносных файлов JSP, изменение конфигурационных параметров и установка скрытых механизмов доступа за пределами области хранения сессий.

«Эта атака использует механизм сохранения сессий по умолчанию в Tomcat вместе с поддержкой частичных PUT-запросов», – отмечают специалисты компании Wallarm, добавляя: «Основная проблема заключается не только в злоупотреблении механизмом сессий, но и в некорректной реализации обработки частичных PUT-запросов, что позволяет загружать практически любой файл в любую директорию».

Необходимо срочно обновить экземпляры Apache Tomcat до патч-версий 11.0.3, 10.1.35 или 0.99, чтобы минимизировать потенциал дальнейших атак. Принятие оперативных мер защиты поможет предотвратить дальнейшую эксплуатацию уязвимости, выявленной всего через 30 часов после её раскрытия.


Новое на сайте