Apache Tomcat’dagi xavfli zaifliklar — serverlarni masofadan boshqarish tahdidi ostida qoldirdi

Veb-ilovalar dunyosida eng ko‘p qo‘llaniladigan Java asosidagi server platformalaridan biri — Apache Tomcat — yana jiddiy kiberxavfsizlik muammolari markazida turibdi. Apache Software Foundation tomonidan 2025-yil 27-oktabr kuni e’lon qilingan ma’lumotlarga ko‘ra, Tomcat’da aniqlangan ikki yangi zaiflik (CVE-2025-55752 va CVE-2025-55754) bir qator versiyalarni qamrab olib, korporativ infratuzilmalarga sezilarli xavf tug‘dirmoqda.

1. Direktoriyalarni aylanib o‘tish orqali masofadan kod bajarish (CVE-2025-55752)

Birinchi zaiflik o‘zining jiddiyligi bilan ajralib turadi. CyCraft Technology mutaxassisi Chumy Tsai tomonidan aniqlangan ushbu xato, ilgari tuzatilgan 60013-raqamli xatolikni bartaraf etish jarayonida yuzaga kelgan regressiya bilan bog‘liq.

Muammo shundan iboratki, Tomcat’da URL manzillarni qayta yozish (URL rewriting) jarayonida manzillar dekodlashdan avval normallashtiriladi. Bu esa tajovuzkorga so‘rov parametrlarini o‘zgartirish va /WEB-INF/ yoki /META-INF/ kabi himoyalangan kataloglarga kirish imkonini beradi.

Agar server sozlamalarida PUT so‘rovlari faollashtirilgan bo‘lsa, tajovuzkor maxsus fayllarni yuklab, tizimda masofadan kod bajarish (RCE) imkoniyatiga ega bo‘ladi. Ushbu holat ishlab chiqarish (production) muhiti uchun ayniqsa xavfli, chunki bunday konfiguratsiyalar ko‘pincha ishonchli foydalanuvchilar uchun mo‘ljallangan bo‘ladi.

Zaiflik quyidagi Tomcat versiyalarini qamrab oladi:

  • 11.0.0-M1 – 11.0.10
  • 10.1.0-M1 – 10.1.44
  • 9.0.0-M11 – 9.0.108
    Shuningdek, eskirgan (EOL) versiyalar ham xavf ostida.

Bu xato Tomcat’ning URL qayta yozish va dekodlash mexanizmi o‘rtasidagi noaniq tartibdan kelib chiqadi. Tajovuzkor aynan shu mexanizmni manipulyatsiya qilib, xavfsizlik cheklovlarini aylanib o‘tishi mumkin.

2. Konsol manipulyatsiyasi (CVE-2025-55754)

Ikkinchi zaiflik birinchi darajadagi xavfga ega bo‘lmasa-da, u ham e’tibordan chetda qolmasligi kerak. MOBIA Technology Innovations mutaxassisi Elysee Franchuk tomonidan aniqlangan ushbu xato Tomcat jurnal (log) yozuvlarida ANSI belgilar ketma-ketligini to‘g‘ri neytrallashtirilmasligi bilan bog‘liq.

Natijada, Windows tizimlarida ishlayotgan va ANSI qo‘llab-quvvatlaydigan konsollarda, tajovuzkor maxsus URL manzillar orqali konsol ekranini, buferini yoki clipboard’ni manipulyatsiya qilish imkoniga ega bo‘ladi. Bu holat to‘g‘ridan-to‘g‘ri hujum vektori bo‘lmasa-da, ijtimoiy muhandislik (social engineering) usullari bilan birgalikda yanada xavfli tus olishi mumkin.

Ushbu zaiflik quyidagi versiyalarni qamrab oladi:

  • 11.0.0-M1 – 11.0.10
  • 10.1.0-M1 – 10.1.44
  • 9.0.0.40 – 9.0.108
    va ayrim eski 8.5.60 – 8.5.100 versiyalari.

3. Apache’ning tavsiyalari va himoya choralari

Apache jamoasi foydalanuvchilarga darhol yangilanish o‘rnatishni qat’iy tavsiya etmoqda. Xususan, quyidagi versiyalar zaifliklardan xoli:

  • Tomcat 11.0.11
  • Tomcat 10.1.45
  • Tomcat 9.0.109 va undan keyingi versiyalar

Shuningdek, tashkilotlar o‘z server konfiguratsiyalarini tekshirib chiqishlari, ayniqsa PUT so‘rovlari va URL rewriting birgalikda ishlayotgan bo‘lsa, ularga alohida e’tibor berishlari zarur.

Bugungi kunda Tomcat millionlab Java asosidagi veb-ilovalar uchun asosiy muhit bo‘lib xizmat qilayotganini inobatga olsak, birgina yangilashni e’tiborsiz qoldirish ham tizimni to‘liq nazorat ostiga olishga olib kelishi mumkin. Bu holat ilgari qayd etilgan CVE-2025-24813 kabi ekspluatlar bilan o‘xshash tarzda ishlashi ehtimoldan xoli emas.

Apache Tomcat’dagi ushbu zaifliklar yana bir bor shuni isbotlaydiki, kiberxavfsizlik — bu jarayon, u hech qachon yakunlanmaydi. Har bir yangilanish, har bir konfiguratsiya va har bir kod satri — potentsial tahdid manbai bo‘lishi mumkin.

Server ma’murlari va dasturchilar uchun eng muhim vazifa — vaqtida yangilash, xavfsizlik protokollariga rioya qilish va audit jarayonlarini avtomatlashtirishdir. Aks holda, bugungi kichik e’tiborsizlik ertangi katta tahdidga aylanadi.