Перейти к содержимому

Хакеры могут полностью захватить серверы, используя уязвимость в Apache Tomcat!

В сервере Apache Tomcat обнаружена уязвимость удалённого выполнения кода (RCE) с идентификатором CVE-2025-24813, которая активно эксплуатируется киберпреступниками. Данная уязвимость позволяет злоумышленникам получить полный контроль над сервером.

По наблюдениям специалистов, использование данной уязвимости стремительно распространяется. Особенно уязвимыми являются организации в сфере финансовых услуг, здравоохранения и государственного сектора.

Уязвимость возникла из-за ошибки в ключевых компонентах механизма работы Apache Tomcat. Злоумышленник может отправить вредоносный запрос на уязвимый сервер без аутентификации и выполнить произвольный код удалённо.

🔴 Уровень опасности: Очень высокий (CVSS 3.1 балл: 8.1 – High)
💻 Затронутые версии:

  • Tomcat 9.0.0-M1 – 9.0.98
  • Tomcat 10.1.0-M1 – 10.1.34
  • Tomcat 11.0.0-M1 – 11.0.2

📌 Условия эксплуатации:

  • Возможность записи сервлетов
  • Поддержка частичных PUT-запросов
  • Персистентность сессий
  • Наличие библиотеки десериализации

Эта уязвимость особенно опасна, так как затрагивает основной механизм работы Tomcat. В результате хакеры могут использовать специально сформированные запросы для эксплуатации сервера.

Хакеры разработали методы обхода ограничений безопасности через ошибку в механизме обработки запросов Tomcat. Атака обычно включает несколько этапов:

1️⃣ Разведка – Злоумышленники ищут незащищённые серверы Tomcat в интернете. Для этого они используют инструменты такие как Nmap, Shodan или Censys.

2️⃣ Эксплуатация уязвимого сервера – Хакер отправляет специально сформированные вредоносные запросы, используя различные методы обхода механизмов защиты.

3️⃣ Закрепление в системе – Если эксплуатация успешна, злоумышленник получает возможность удалённого выполнения кода, что позволяет ему:

  • Установить веб-оболочку (web-shell) – для полного контроля над сервером.
  • Запустить скрытый майнер криптовалют – для нелегального использования ресурсов сервера.
  • Разместить ransomware (шифровальщик) – зашифровать файлы сервера и требовать выкуп за их расшифровку.

Пользователям и администраторам серверов Apache Tomcat необходимо принять следующие меры:

1. Немедленно обновить Apache Tomcat
🔹 Установите последние исправленные версии от Apache, так как они устраняют уязвимость CVE-2025-24813.

2. Усилить сетевую безопасность
🔹 Заблокируйте подозрительные запросы и ограничьте доступ к серверу.

3. Включить логирование и мониторинг
🔹 Проверяйте журналы на предмет подозрительной активности. SIEM-системы помогут выявлять атаки в режиме реального времени.

4. Ограничить права служб Tomcat
🔹 Не запускайте Tomcat с административными привилегиями. Это поможет минимизировать ущерб в случае взлома.

5. Установить Web Application Firewall (WAF)
🔹 Такие решения, как ModSecurity, помогут фильтровать вредоносные запросы к серверу.

6. Использовать инструменты сетевого сканирования
🔹 Регулярно проверяйте сеть на наличие уязвимых серверов с помощью Nmap, Nessus или OpenVAS.

7. Обновить правила Snort
🔹 Настройте Snort IDS/IPS для выявления атак, направленных на Tomcat.

Уязвимость CVE-2025-24813 в Apache Tomcat крайне опасна, так как позволяет злоумышленникам полностью захватить сервер. В настоящее время киберпреступники активно эксплуатируют эту уязвимость, поэтому администраторам серверов необходимо срочно установить обновления и принять дополнительные меры безопасности.

🛡 Будьте бдительны и как можно скорее обновите Apache Tomcat для защиты ваших данных!