Apache Tomcat’taki kritik bir güvenlik açığı, savunmasız sunucularda uzaktan kod yürütme (RCE) elde etmek için saldırganlar tarafından aktif olarak kullanılmıştır.
Bu güvenlik açığı 9.0.0-M1 ila 9.0.98, 10.1.0-M1 ila 10.1.34 ve 11.0.0-m ila 11.0.2 sürümlerini etkiler ve 9.0.99, 10.1.35 ve 11.0.3 sürümlerinde çözülmüştür.
Kusur, Apache Tomcat’ın kısmi koyma isteklerini ve yol denkliğini ele alarak, saldırganların güvenlik kısıtlamalarını atlamasına ve belirli koşullar altında kimlik doğrulama yapmadan keyfi kod yürütmesine izin verir.
Sömürü teknikleri ve etki
Insikt Group’a göre, sömürü iki aşamalı bir süreç içeriyor. İlk olarak, saldırganlar yazılabilir bir dizine kötü niyetli bir şekilde hazırlanmış, serileştirilmiş bir Java yükü ile bir isteği gönderir.
Bu yük, serileştirme üzerine RCE’yi tetiklemek için tasarlanmıştır. Ardından, özel olarak hazırlanmış bir “JSessionId” çerezi ile bir GET isteği gönderilir, bu da sunucunun yükü sazipleştirmesine ve keyfi kod yürütmesine neden olur.
Başarılı sömürü, varsayılan sunucu uygulaması için yazma izinleri, kısmi koyma desteği ve seansa dayalı bir kitaplık ile dosya tabanlı oturum kalıcılığının kullanılması dahil belirli koşullar gerektirir.
Bu koşullar tipik olarak varsayılan olarak karşılanmaz, sömürü kapsamı sınırlandırılır. Aktif sömürü girişimleri küresel olarak gözlemlenmiştir ve saldırganlar öncelikle Amerika Birleşik Devletleri, Japonya, Hindistan, Güney Kore ve Meksika’da sistemleri hedeflemektedir.
Konsept kanıtı (POC) istismarlarının hızlı bir şekilde kullanılabilirliği, sömürü engelini düşürdü ve daha az sofistike saldırganların bu güvenlik açığını kullanmaya çalışmasına izin verdi.
Bu girişimlere rağmen, gerekli belirli önkoşullar nedeniyle başarılı sömürü zordur.
Hafifletme
CVE-2025-24813 ile ilişkili riskleri azaltmak için, kuruluşlar en kısa sürede Apache Tomcat’ın (9.0.99, 10.1.35 veya 11.0.3) yamalı versiyonlarına yükseltilmelidir.
Yükseltmenin hemen mümkün olmadığı durumlar için, Tomcat sunucusuna erişimi kısıtlamak için ağ düzeyinde kontroller uygulamak geçici koruma sağlayabilir.
Ayrıca, gereksiz HTTP yöntemlerinin devre dışı bırakılması ve katı erişim kontrollerinin uygulanması, sömürü riskini daha da azaltabilir.
Kötü amaçlı trafiği tespit etmek ve engellemek için, tehdit göstergeleri için sürekli izleme ve Web Uygulaması Güvenlik Duvarlarının (WAF) kullanımı da önerilir.