CVE-2025-24813 olarak izlenen Apache Tomcat’teki kritik bir uzaktan kod yürütme (RCE) güvenlik açığı, vahşi doğada aktif olarak sömürülür ve saldırganların basit bir isteği ile sunucuları ele geçirmesini sağlar.
Bilgisayar korsanlarının, geçtiğimiz hafta açıklandıktan sadece 30 saat sonra GitHub’da yayınlanan konsept kanıtı (POC) istismarlarından yararlandığı bildiriliyor.
Kötü niyetli etkinlik, geleneksel güvenlik araçlarının Put talepleri normal göründüğü ve kötü niyetli içeriğin Base64 kodlaması kullanılarak gizlenmediği için onu algılamadığı konusunda uyaran Wallarm güvenlik araştırmacıları tarafından doğrulandı.
Özellikle, saldırgan Tomcat’ın oturum depolamasına kaydedilen Base64 kodlu serileştirilmiş Java yükü içeren bir Put Talebi gönderir.
Saldırgan daha sonra yüklenen oturum dosyasını işaret eden bir JSessionId çereziyle bir GET isteği göndererek Tomcat’ı kötü amaçlı Java kodunu sazelleştirmeye ve yürütmeye zorlayarak saldırgana tam kontrol sağlıyor.
Saldırı kimlik doğrulama gerektirmez ve Tomcat’ın kısmi Put taleplerini ve varsayılan oturum sürekliliğini kabul etmesinden kaynaklanır.
Wallarm, “Bu saldırının yürütülmesi çok basit ve kimlik doğrulaması gerektirmiyor” diye açıklıyor.
“Tek gereksinim, Tomcat’in birçok dağıtımda yaygın olan dosya tabanlı oturum depolama alanı kullanmasıdır. Daha da kötüsü, Base64 kodlaması, istismarın çoğu geleneksel güvenlik filtresini atlamasına izin vererek algılamayı zorlaştırır.”
Tomcat RCE
CVE-2025-24813 Uzaktan Kod Yürütme Güvenlik Açığı Kususu, ilk olarak 10, 2025 Pazartesi günü Apache tarafından açıklandı ve Apache Tomcat 11.0.0-M1 ila 11.0.2, 10.1.0-M1 ila 10.1.34 ve 9.0.0.m1 ila 9.0.98.
Güvenlik Bülteni, kullanıcıları belirli koşullar altında, bir saldırganın güvenliğe duyarlı dosyalar üzerinde keyfi içeriği görüntüleyebileceği veya enjekte edebileceği konusunda uyardı.
Koşullar şunlardı:
- Varsayılan sunucu uygulaması için etkin yazar (readonly = “false”) – (varsayılan olarak devre dışı bırakılır)
- Kısmi Put için destek etkinleştirilir (varsayılan olarak etkinleştirilir.)
- Güvenliğe duyarlı yüklemeler, bir kamu yükleme dizininin bir alt dizininde gerçekleşir.
- Saldırgan, yüklenen güvenliğe duyarlı dosyaların adlarını bilir.
- Güvenlik duyarlı bu dosyalar kısmi Put kullanılarak yükleniyor.
Apache, tüm kullanıcıların CVE-2025-24813’e karşı yamalı olan 11.0.3+, 10.1.35+ veya 9.0.99+ TOMCAT sürümlerine yükseltilmesini önerdi.
TOMCAT kullanıcıları ayrıca varsayılan sunucu uygulaması yapılandırmasına (Readonly = “true”) dönerek, kısmi put desteğini kapatarak ve güvenlik duyarlı dosyaları halka açık yükleme yollarının bir alt dizininde depolamaktan kaçınarak sorunu azaltabilir.
Wallarm, bu durumda vurgulanan daha büyük sorunun sömürü faaliyetinin kendisi olmadığını, Tomcat’taki kısmi put taşımasından kaynaklanan daha fazla RCE güvenlik açıklarının potansiyeli olduğu konusunda uyarıyor.
“Saldırganlar yakında taktiklerini değiştirmeye, kötü niyetli JSP dosyalarını yüklemeye, yapılandırmaları değiştirmeye ve oturum depolama dışındaki arka kapıları dikmeye başlayacak. Bu sadece ilk dalga.”
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.