
Apache Tomcat ve Apache Camel’deki kritik güvenlik açıkları, dünya çapında siber suçlular tarafından aktif olarak sömürülüyor ve güvenlik araştırmacıları Mart 2025’teki açıklamalarından bu yana 70’den fazla ülkede 125.000’den fazla saldırı denemesini belgeliyor.
Apache Tomcat ve CVE-2025-27636 ve CVE-2025-29891’i etkileyen CVE-2025-24813-Apache Camel’i Etkileyen Üç Güvenlik Açıklığı-Uzaktan Kod Yürütülmesini Etkiliyor ve bu yaygın olarak parçalanmış JAVA tabanlı platformları çalıştıran kuruluşlar için önemli riskler doğuruyor.
Java tabanlı web uygulamalarını sağlayan popüler web sunucusu platformu olan Apache Tomcat, 9.0.0.m1 ila 9.0.98, 10.1.0-m1 ila 10.1.34 ve 11.0.0-m1 ila 11.0.2 sürümlerini etkileyen CVE-2025-24813 aracılığıyla savunmasızdır.
Kusur, Tomcat’ın kısmi koyma işlevselliğini, oturum kalıcılığı özellikleriyle birleştirerek, saldırganların serileştirilmiş oturum dosyalarını manipüle etmesine ve keyfi kod yürütme elde etmesine izin verir.
Farklı sistemleri birleştirmek için bir entegrasyon çerçevesi olan Apache Camel, saldırganların büyüklüğe duyarlı manipülasyon teknikleri aracılığıyla başlık filtreleme mekanizmalarını atlamasını sağlayan iki ilgili güvenlik açıkından muzdariptir.
.webp)
Palo Alto Networks araştırmacıları, güvenlik açıklarının kamuya açıklanmasının hemen ardından sömürü girişimlerinde dramatik bir artış tespit ettiler ve saldırı frekansı Mart 2025’in ilk haftasında zirve yaptı.
Güvenlik firmasının telemetri sistemleri, TOMCAT güvenlik açığını hedefleyen 7.859 da dahil olmak üzere 125.856 prob, tarama ve sömürü denemelerini engelledi.
Saldırı modellerinin analizi, hem otomatik tarama araçlarını hem de aktif sömürü girişimlerini ortaya koymaktadır ve birçok saldırı serbestçe mevcut çekirdek tarayıcı çerçevesini kullanır.
Tehdit manzarası, ilk açıklamalardan bu yana hızla gelişti ve kavram kanıtı istismarları, Apache’nin güvenlik yamaları yayınladıktan kısa bir süre sonra kamuya açık hale geldi.
.webp)
Sömürme kolaylığı, daha az karmaşık tehdit aktörleri için engelleri düşürdü ve bu güvenlik açıklarını özellikle gerekli güncellemeleri uygulamayan kuruluşlar için tehlikeli hale getirdi.
Tomcat’ın kısmi sömürü mekanizması
CVE-2025-24813 güvenlik açığı, Tomcat’ın içerik aralığı başlıkları ile kısmi Put taleplerini ele alan sofistike iki aşamalı bir saldırı sürecinden yararlanır.
Saldırganlar ilk olarak, Serialize kötü amaçlı kod içeren bir HTTP koyma isteği göndererek kötü niyetli yüklerini aşamalı olarak, dosya adı Tomcat’in oturum kalıcılık mekanizması tarafından uygun önbelleğe alınmasını sağlamak için “. Session” ile bitiyor.
İlk yük dağıtım, devre dışı bir okuma parametresi ve etkin oturum kalıcılığı dahil olmak üzere belirli sunucu yapılandırmaları gerektirir.
Bu koşullar karşılandığında, Tomcat saldırganın serileştirilmiş kodunu iki konuma kaydettirir: WebApps dizininin altındaki normal bir önbellek dosyası ve çalışma dizininde lider bir dönem olan geçici bir dosya.
Sömürü süreci, saldırgan, önbelleğe alınmış kötü amaçlı kodun sazizleşmesini tetikleyen özenle hazırlanmış bir JSessionId çerez değeri içeren bir takip HTTP GET isteği gönderdiğinde sona erer.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi