Apache Tomcat’taki kritik bir hizmet reddi güvenlik açığını hedefleyen bir kavram kanıtı istismarı, potansiyel saldırılara 10.1.10 ila 10.1.39 sürümlerini çalıştıran sunucuları ortaya çıkardı.
CVE-2025-31650 olarak adlandırılan istismar, savunmasız Tomcat örneklerinde bellek tükenmesine neden olmak için kötü biçimlendirilmiş HTTP/2 öncelik başlıklarından yararlanır.
Güvenlik Araştırmacısı Abdualhadi Khalifa, 5 Haziran 2025’te istismar kodunu geliştirdi ve yayınladı ve web uygulama sunucularının karşılaştığı devam eden güvenlik zorluklarında önemli bir gelişme gösterdi.
.png
)
Http/2 başlık istismarı tomcat bellek sızıntılarına neden olur
Güvenlik açığı, Apache Tomcat’ın HTTP/2 öncelik başlıklarını nasıl işlediği ve özellikle sunucunun bellek yönetim sistemini hedeflediği temel bir kusurdan yararlanır.
Saldırı vektörü, normal doğrulama mekanizmalarını atlayan ve Tomcat çalışma zamanı ortamında aşamalı bellek sızıntılarına yol açan geçersiz öncelik parametrelerine sahip özel hazırlanmış istekler göndermeye dayanır.
İstismar, u = -1, q = 2, u = 4294967295, q = -1 ve u = -2147483648, q = 1.5 gibi aşırı sayısal değerler dahil olmak üzere gelişmiş bir dizi hatalı öncelik başlığı kullanır.
Bu parametreler, TOMCAT’ın HTTP/2 uygulamasındaki kenar durumlarını tetiklemek için tasarlanmıştır; burada sunucunun, kötü biçimlendirilmiş istekleri işledikten sonra bellek kaynaklarını düzgün bir şekilde ele alamadığı.
Saldırı metodolojisi, hedef sunucuyu binlerce özel hazırlanmış istekle bombalayan eşzamanlı eşzamansız görevlerin başlatılmasını içerir.
Python tabanlı istismar, HTTPX kütüphanesini HTTP/2 desteği etkinleştirerek kullanır ve saldırı yürütmesini yöneten TomcatKiller adlı bir sınıf uygular.
Kod, temel algılama mekanizmalarını önlemek için randomize kullanıcı ajanı dizeleri ve dinamik başlık manipülasyonu da dahil olmak üzere sofistike kaçış tekniklerini gösterir.
Saldırının başarısı için kritik olan, güvenlik açığı özellikle HTTP/2 protokol yığınını etkilediğinden, hedef sunucudaki HTTP/2 desteğinin ilk doğrulamasıdır.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Apache Tomcat Sürümleri 10.1.10 ila 10.1.39 |
| Darbe | Uzaktan Hizmet Reddi (DOS) |
| Önkoşuldan istismar | 1. Hedef Sunucu’da HTTP/2 Protokol Desteği etkinleştirildi. Savunmasız Tomcat Versiyonu (10.1.10-10.1.39) |
| CVSS 3.1 puanı | 7.5 (yüksek) |
Hizmet reddi saldırısı, ağ bant genişliği yerine bellek kaynaklarını hedeflediği için özellikle yıkıcı olduğunu kanıtlayarak geleneksel DDOS koruma mekanizmalarıyla azaltılmayı zorlaştırıyor.
Başarılı bir şekilde yürütüldüğünde, istismar Apache Tomcat sunucularını aşırı bellek tüketmeye zorlayabilir, sonunda outofMemoryError istisnalarına ve tam hizmet kesintisine yol açabilir.
İstismarın etkinliği, nispeten az sayıda eşzamanlı bağlantı yoluyla sürekli bellek baskısı oluşturma yeteneğinden kaynaklanmaktadır.
Varsayılan olarak, araç 300 eşzamanlı görevi başlatır ve her biri kötü biçimlendirilmiş öncelik başlıkları ile 100.000’e kadar istek gönderir.
Bu yaklaşım, iyi korunmuş sunucuların bile bağlantı selinden ziyade sürekli bellek tükenmesi yoluyla bunalmış olmasını sağlar.
İstismarda yerleşik olan izleme yetenekleri, saldırganların sunucu duyarlılığını gerçek zamanlı olarak izlemelerini sağlar ve saldırının etkinliği hakkında anında geri bildirim sağlar.
Araç, saldırganların maksimum etki için yaklaşımlarını optimize etmelerine yardımcı olmak için kapsamlı istatistik izleme, başarı oranları, başarısız istekler ve bağlantı durumu gösterme içerir.
Hafifletme
Korunmasız Apache Tomcat sürümlerini çalıştıran kuruluşlar, CVE-2025-31650 adresine yönelik yamalı sürümlere yükseltmeye hemen öncelik vermelidir.
Güvenlik açığı, iyileştirme stratejilerini uygulamadan önce dikkatli bir sürüm tanımlaması gerektiren 10.1.10 ila 10.1.39 arasındaki belirli bir sürüm yelpazesini etkiler.
Ağ düzeyinde korumalar, HTTP/2 bağlantıları için uygulama oranı sınırlamasını ve öncelikli başlık kullanımında olağandışı kalıpların izlenmesini içermelidir.
Güvenlik ekipleri, bu istismarın karakteristik kalıplarını, özellikle de saldırıda kullanılan belirli hatalı öncelik başlık değerlerini tanımlamak için saldırı algılama sistemlerini yapılandırmalıdır.
Sistem yöneticileri ayrıca aktif sömürü girişimlerini gösterebilecek olağandışı bellek tüketim kalıplarını tespit etmek için bellek izleme uyarıları uygulamalıdır.
İstismarın HTTP/2 protokolü özelliklerine olan güveni göz önüne alındığında, kuruluşlar yamalar uygulanana kadar kritik TOMCAT örneklerinde HTTP/2 desteğini geçici olarak devre dışı bırakmayı düşünebilir, ancak bu yaklaşım performansı ve işlevselliği etkileyebilir.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği