Yakın zamanda açıklanan güvenlik açığı olan CVE-2025-24813 aracılığıyla Apache Tomcat sunucularının aktif olarak sömürülmesi ile ilgili bir gelişme ortaya çıkmıştır.
Bu güvenlik açığı, saldırganların başarıyla sömürülmesi durumunda potansiyel olarak uzaktan kod (RCE) yürütmesine izin verir.
Siber güvenlik firması Greynoise, çeşitli bölgelerdeki bu saldırılarda yer alan çoklu IP’leri belirledi ve kuruluşların sistemlerini derhal güncelleme aciliyetini vurguladı.
CVE-2025-24813: büyüyen bir tehdit
CVE-2025-24813, Apache Tomcat’i çalıştıran sistemlerin güvenliği için önemli riskler oluşturan uzaktan kod yürütmeyi etkinleştirebilir.
İyi haber şu ki, mevcut sömürü, halka açık kavram kanıtı (POC) kodunu kullanan saf saldırganlarla sınırlı görünmektedir.
Bununla birlikte, bu, güvenlik açığı yaygın olarak bilinirken daha sofistike saldırıların öncüsü olabilir.
Geynoise, savunucuların bu kötü niyetli faaliyetleri verimli bir şekilde izlemesine ve yanıtlamalarına yardımcı olmak için belirli bir CVE-2025-24813 TAG oluşturdu.
17 Mart 2025’ten bu yana Greynoise, bu kırılganlıktan yararlanmaya çalışan dört benzersiz IP tespit etti.
Bu saldırganlar, savunmasız sistemlerde keyfi kod yürütülmesine yol açabilecek kötü niyetli yükler enjekte etmek için kısmi bir yönlendirme yöntemi kullanıyorlar. Bu girişimlerin coğrafi dağılımı çok çeşitli hedefleri vurgulamaktadır:
- Coğrafi dağıtım: İstismar girişimlerinin çoğunluğu ABD, Japonya, Hindistan, Güney Kore ve Meksika’daki sistemlere yöneliktir ve oturumların% 70’inden fazlası ABD tabanlı sistemlere yöneliktir.
- Saldırı Kökeni: 11 Mart’ta en erken sömürü girişimleri gözlemlendi, ancak 18 Mart’ta Letonya tabanlı bir IP’den başlayarak önemli bir faaliyet kaydedildi. Sonraki girişimler İtalya, ABD ve Çin’e kadar izlendi. Özellikle, bu IP’lerden ikisi, potansiyel kaçırma taktiklerini gösteren bilinen bir VPN hizmetine bağlıdır.
Azaltma ve Öneriler
CVE-2025-24813’ün ciddiyeti ve devam eden sömürü göz önüne alındığında, kuruluşlar sistemlerini güvence altına almak için derhal harekete geçmelidir:
- Yamalar uygulayın: Kuruluşlar, Apache Tomcat için en son güvenlik yamalarını derhal uygulamalıdır.
- Web sunucusu günlüklerini izleyin: Potansiyel saldırıları tespit etmek için beklenmedik PUT taleplerini düzenli olarak izleyin.
- WAF kurallarını dağıtın: Kötü amaçlı yükleri etkili bir şekilde engellemek için Web Uygulaması Güvenlik Duvarı (WAF) kurallarını yapılandırın.
- Geynoise Zekası kullanın: Kötü niyetli IP’leri tanımlamak ve engellemek için Greynoise’in gerçek zamanlı izleme özelliklerini kullanın.
Kuruluşlar Apache Tomcat dağıtımlarını acilen değerlendirmeli ve CVE-2025-24813 ile ilişkili riskleri azaltmak için yamalar uygulamalıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free