По-малко от седмица след пускането на пачове за критична уязвимост в Apache Tomcat с отдалечено изпълнение на код, в китайски форум беше публикуван код за експлойт, който показва как да се превземат сървъри с една заявка PUT.

Според бюлетина на Wallarm има признаци, че бъгът се използва в дивата природа преди публикуването на кода за експлоатиране.

Уязвимостта в Apache Tomcat, обозначена като CVE-2025-24813 и закърпена миналия понеделник с оценка за важна сериозност, засяга Apache Tomcat 11.0.0-M1 до 11.0.2, 10.1.0-M1 до 10.1.34 и 9.0.0.M1 до 9.0.98.

„Тази атака е изключително проста за изпълнение и не изисква удостоверяване. Единственото изискване е Tomcat да използва файлово базирано съхранение на сесии, което е често срещано в много внедрявания“, казва Wallarm в бележка, предупреждаваща за експлоатиране.

„По-лошото е, че кодирането base64 позволява на експлойта да заобиколи повечето традиционни филтри за сигурност, което прави откриването трудно“, добави компанията.

При наблюдаваните атаки Wallarm заяви, че е изпратена заявка PUT, съдържаща сериализиран сериализиран Java полезен товар, съхранен в паметта на сесията на Tomcat.

След това атакуващият изпраща GET заявка с JSESSIONID бисквитка, насочваща към качения сесиен файл, принуждавайки Tomcat да десериализира и изпълни зловредния Java код, предоставяйки пълен контрол на атакуващия.

Атаката не изисква удостоверяване и се дължи на това, че Tomcat приема частични PUT заявки и на запазването на сесията по подразбиране, обясни Wallarm.

Миналия понеделник Apache Foundation публикува консултация по сигурността, в която предупреждава потребителите, че при определени условия нападателят може да прегледа или инжектира произволно съдържание във файлове, чувствителни към сигурността.

Условията бяха следните:

• Записването е разрешено за сървлета по подразбиране (readonly=„false“) – (Изключено по подразбиране)
• Разрешена е поддръжката на частично PUT (Разрешено по подразбиране.)
• Изпращането на чувствителни към сигурността файлове се извършва в поддиректория на публична директория за изпращане.
• Атакуващият знае имената на файловете, чувствителни към сигурността, които се качват.
• Тези чувствителни от гледна точка на сигурността файлове се качват с помощта на частично PUT.

Apache препоръчва на всички потребители да надградят до версии на Tomcat 11.0.3+, 10.1.35+ или 9.0.99+, за да намалят тази заплаха.

Потребителите на Tomcat могат също така да се върнат към конфигурацията на сървлета по подразбиране (readonly=„true“), като изключат поддръжката на partial PUT и избягват съхраняването на чувствителни към сигурността файлове в поддиректория на публичните пътища за качване.

От Wallarm предупреждават, че по-големият проблем, подчертан в този случай, не е самата дейност по експлоатиране, а потенциалът за повече уязвимости RCE, произтичащи от обработката на частичен PUT в Tomcat.

„Нападателите скоро ще започнат да променят тактиката си, като качват злонамерени JSP файлове, променят конфигурациите и поставят задни врати извън съхранението на сесиите. Това е само първата вълна“, заяви Wallarm.