Apache Tomcat’da xavfli DoS zaifligi aniqlandi – Exploit kodi ommaga e’lon qilindi

2025-yil 5-iyun kuni xavfsizlik tadqiqotchilari tomonidan Apache Tomcat 10.1.10 – 10.1.39 versiyalariga taalluqli CVE-2025-31650 raqamli xavfli zaiflik uchun PoC (Proof-of-Concept) exploit kodi ommaga e’lon qilindi.

Mazkur zaiflik orqali xakerlar serverga xotira asosidagi xizmatdan chiqarish hujumi (DoS) uyushtirishi va butun web ilova faoliyatini izdan chiqarishi mumkin.

HTTP/2 protokolining priority headerlari noto‘g‘ri ko‘rinishda yuborilganda, Tomcat’ning xotira boshqaruvi izdan chiqadi. Bu orqali:

  • Xotira oqimi (Memory Leak) yuzaga keladi,
  • Server asta-sekin haddan tashqari xotira iste’mol qiladi,
  • Natijada xizmat to‘xtaydi yoki OutOfMemoryError bilan qulab tushadi.

Zaiflikning CVSS 3.1 reytingi: 7.5 – Yuqori xavf

Python dasturida yozilgan TomcatKiller deb nomlangan ekspluatator:

  • 300 tagacha asinxron so‘rovlarni ishga tushiradi,
  • Har biri 100,000 dan ortiq noto‘g‘ri priority header yuboradi,
  • Bu headerlar quyidagicha ko‘rinishda: u=-1, q=2, u=4294967295, q=-1 va hokazo.

Bu holatda, server har bir noto‘g‘ri so‘rovni qayta ishlashda xotirani to‘liq tozalay olmaydi, natijada uni to‘ldirib qo‘yadi.

Xavf omillari

Ko‘rsatkichTafsilotlar
🎯 Ta’sir ko‘lamiApache Tomcat 10.1.10 – 10.1.39
🚀 Tahdid turiXotira asosidagi DoS hujumi
🔐 Foydalanuvchi roliAutentifikatsiyasiz
🌐 ProtokolHTTP/2 yoqilgan holatda
📈 CVSS reytingi7.5 (Yuqori darajadagi tahdid)

🛡 Qarshi chora-tadbirlar

  1. Tomcat yangilanishi:
    • Darhol Tomcat 10.1.40 yoki undan yuqori versiyaga yangilanish lozim.
  2. HTTP/2 protokolini vaqtincha o‘chirib qo‘yish:
    • Kritik tizimlarda HTTP/2’ni o‘chirib qo‘yish exploitni bloklashi mumkin.
  3. Tarmoq darajasida cheklovlar joriy etish:
    • Rate limiting (IP/sessiya bo‘yicha),
    • IDS/IPS tizimlariga noto‘g‘ri header’larni aniqlovchi qoidalar kiritish.
  4. Xotira monitoringini yoqish:
    • JVM xotira iste’molini real vaqtda kuzatish,
    • OutOfMemoryError holatlarini aniqlovchi alertlar o‘rnatish.

Apache Tomcat CVE-2025-31650 zaifligi – bu oddiy DDoS emas. U ko‘p resurs talab qilmasdan serverni xotira jihatidan izdan chiqarishga qaratilgan. Hujum kam sonli so‘rovlar orqali katta zararga olib keladi.

📌 Agar siz Apache Tomcat ishlatayotgan bo‘lsangiz, serveringizni bugunoq tekshiring:

  • HTTP/2 yoqilganmi?
  • Versiyangiz 10.1.10–10.1.39 oralig‘idami?

Agar ha, darhol yangilang! Bu zaiflik orqali hujumlar allaqachon real hayotda kuzatilmoqda.

📢 Kiberxavfsizlik sohasidagi eng so‘nggi yangiliklar, tahlillar va zamonaviy himoya strategiyalarini kuzatmoqchimisiz?
Unda @uzcert_live rasmiy Telegram kanaliga a’zo bo‘ling:
👉 https://t.me/uzcert_live