Apache Tomcat’ı etkileyen yakın zamanda açıklanan bir güvenlik kusuru, kamuoyunun açıklamasından sadece 30 saat sonra bir kamu kavram kanıtı (POC) piyasaya sürülmesinin ardından vahşi doğada aktif sömürü altına girmiştir.
Güvenlik açığı, CVE-2025-24813aşağıdaki sürümleri etkiler –
- Apache Tomcat 11.0.0-m1 ila 11.0.2
- Apache Tomcat 10.1.0-M1 ila 10.1.34
- Apache Tomcat 9.0.0-M1 ila 9.0.98
Belirli koşullar yerine getirildiğinde uzaktan kod yürütme veya bilgi açıklaması durumu ile ilgilidir –
- Varsayılan sunucu uygulaması için etkin yazar (varsayılan olarak devre dışı)
- Kısmi Put için Destek (varsayılan olarak etkinleştirildi)
- Kamu yüklemeleri için bir hedef URL’nin alt-yöneticisi olan güvenliğe duyarlı yüklemeler için bir hedef URL
- Yüklenen güvenliğe duyarlı dosyaların adlarının saldırgan bilgisi
- Güvenliğe duyarlı dosyalar da kısmi koyma yoluyla yükleniyor
Başarılı sömürü, kötü amaçlı bir kullanıcının güvenliğe duyarlı dosyaları görüntülemesine veya bu dosyalara bir isteği ile bu dosyalara keyfi içeriği enjekte etmesine izin verebilir.
Ayrıca, aşağıdaki tüm koşullar doğruysa, bir saldırgan uzaktan kod yürütülebilir –
- Varsayılan sunucu uygulaması için etkin yazar (varsayılan olarak devre dışı)
- Kısmi Put için Destek (varsayılan olarak etkinleştirildi)
- Uygulama, Tomcat’in Dosya Tabanlı Oturum Kalıcını Varsayılan Depolama Konumu ile kullanıyordu
- Uygulama, bir serileştirme saldırısından yararlanabilecek bir kütüphane içeriyordu
Geçen hafta yayınlanan bir danışmanlıkta, proje koruyucuları güvenlik açığının Tomcat sürümlerinde 9.0.99, 10.1.35 ve 11.0.3’te çözüldüğünü söyledi.
Ancak, bir bükülme ile, kırılganlık zaten vahşi doğada, Wallarm başına sömürü girişimlerini görüyor.
Şirket, “Bu saldırı, Tomcat’ın varsayılan oturum kalıcılık mekanizmasını, kısmi Put taleplerine verdiği desteği artırıyor.” Dedi.
“İstismar iki adımda çalışır: Saldırgan, PUT isteği yoluyla serileştirilmiş bir Java oturum dosyası yükler. Saldırgan, kötü amaçlı oturum kimliğini bir GET isteğinde referans alarak stajyerleştirmeyi tetikler.”
Farklı bir şekilde, saldırılar, Tomcat’ın oturum depolama dizinine yazılan ve daha sonra, kötü amaçlı oturuma işaret eden JSessionId ile bir GET isteği göndererek, daha sonra seansize edilmesi sırasında yürütülen baz64 kodlu serileştirilmiş bir Java yükü içeren bir Put Talebi göndermeyi gerektirir.
Wallarm ayrıca güvenlik açığının sömürülmesi önemsiz olduğunu ve kimlik doğrulaması gerektirmediğini belirtti. Tek ön koşul, Tomcat’in dosya tabanlı oturum depolama alanı kullanmasıdır.
“Bu istismar oturum depolamasını istismar ederken, daha büyük sorun Tomcat’te kısmi bir şekilde taşıma işlemidir, bu da herhangi bir dosyanın herhangi bir yere yüklenmesine izin verir.” “Saldırganlar yakında taktiklerini değiştirmeye, kötü niyetli JSP dosyalarını yüklemeye, yapılandırmaları değiştirmeye ve oturum depolama alanının dışındaki arka kapıları dikmeye başlayacaklar.”
Tomcat’in etkilenen sürümlerini çalıştıran kullanıcıların potansiyel tehditleri azaltmak için örneklerini mümkün olan en kısa sürede güncellemeleri tavsiye edilir.