Greynoise Intelligence’daki siber güvenlik araştırmacıları, dünyanın dört bir yanındaki Apache Tomcat Manager arayüzlerini hedefleyen önemli bir koordineli saldırı kampanyası belirlediler.
5 Haziran 2025’te, şirketin tehdit algılama sistemleri, normal taban çizgilerini çok aşan aktivite seviyeleri, büyük ölçekli bir keşif ve erişim girişimi operasyonu gibi görünen yaklaşık 400 benzersiz IP adresi ile kayıtlı.
Kampanya, web uygulama sunucularına yönelik fırsatçı saldırılarda dramatik bir yükselmeyi temsil ediyor ve güvenlik uzmanları bu tür geniş tarama faaliyetlerinin genellikle daha fazla hedeflenen sömürü girişimlerinden önce geldiğini söyledi.
.png
)
Saldırı kampanyasının ölçeği ve kapsamı
Geynoise’nin izleme sistemleri, otomatik etiketleme sistemleri aracılığıyla iki farklı ancak ilgili saldırı paterni tespit etti.
“Tomcat Yöneticisi Brute Force Giriş” etiketi, sistematik şifre tahmin saldırıları yapan 250 benzersiz IP adresi yakaladı ve 1-15 IP’lerin tipik temel aralığından büyük bir artışı temsil etti.
Eşzamanlı olarak, “Tomcat Manager Giriş Girişimi” etiketi, 10-40 IP’lerin normal taban çizgisine kıyasla Tomcat yönetim arayüzlerine erişmeye çalışan 298 benzersiz IP adresi tanımladı.
Brute kuvvet girişimlerinde yer alan tüm IP adresleri kötü niyetli olarak sınıflandırılırken, giriş yapanların% 99,7’si aynı atama aldı.
Kampanyanın koordineli doğası, tehdit aktörleri tarafından sofistike planlama ve kaynak tahsisini önermektedir.
| Saldırı türü | Benzersiz IP’ler gözlemlendi | Temel aralığı | Kötü niyetli sınıflandırma |
|---|---|---|---|
| Kaba kuvvet denemeleri | 250 | 1-15 IPS | % 100 |
| Giriş Denemeleri | 298 | 10-40 IPS | % 99.7 |
| Toplam kampanya | ~ 400 | 11-55 IPS | % 99.8 |
Altyapı ve Coğrafi Dağıtım
Saldırı altyapısının analizi, DigitalOcean’ın otonom sistem numarasından (ASN 14061) kaynaklı önemli bir kötü amaçlı etkinlik konsantrasyonunu ortaya koymaktadır.
Bu bulut hizmet sağlayıcısının altyapısının, muhtemelen saldırı kaynaklarının hızla sağlanması ve elden çıkarılması kolaylığı nedeniyle tehdit aktörleri tarafından ağır bir şekilde kaldırıldığı görülmektedir.
Saldırı IPS’nin coğrafi dağılımı, çoğunluğu ABD, Birleşik Krallık, Almanya, Hollanda ve Singapur’dan kaynaklanan birden fazla ülkeyi kapsamaktadır.
Bu arada, hedeflenen sistemler öncelikle Amerika Birleşik Devletleri, Birleşik Krallık, İspanya, Almanya, Hindistan ve Brezilya’da bulunuyordu ve bu da hem saldırgan hem de savunma altyapısının gerçekten küresel bir kapsamını gösteriyor.
Apache Tomcat Manager uygulaması, Tomcat Server örneklerini yönetmek ve dağıtılan uygulamaları yönetmek için web tabanlı bir yönetim arayüzü olarak hizmet vermektedir.
Varsayılan olarak, Tomcat Manager, Meta-Inf/Context.xml’deki RemoteAdDrValve yapılandırmasını kullanarak LocalHost’a (127.0.0.1) erişimi kısıtlayacak şekilde yapılandırılmıştır:
xmlSavunma önerileri ve gelecekteki sonuçlar
Güvenlik araştırmacıları, bu kampanyanın belirli bir güvenlik açığı sömürüsüyle bağlantılı olmasa da, yaygın keşif faaliyetlerinin eğilimini temsil ettiğini vurgulamaktadır.
Bu tür geniş, fırsatçı tarama, özellikle Apache Tomcat’ın kurumsal ortamlar arasında kapsamlı konuşlandırılması göz önüne alındığında, daha fazla hedeflenen saldırılar için ön istihbarat toplama olarak hizmet eder.
TOMCAT Manager arayüzlerini işleten kuruluşlar, tanımlanan kötü amaçlı adresler için derhal IP tabanlı engelleme uygulamalı ve erişim kontrol yapılandırmalarını gözden geçirmelidir.
RemoteCidrValve, belirli ağ aralıklarına erişimi kısıtlamak için kullanılabilir:
xmlBu saldırı kampanyası, Grinnoise’in Mart 2025’ten beri izlediği kritik bir Apache Tomcat uzaktan kod yürütme kırılganlığı olan CVE-2025-24813’ün devam eden kullanımı ile çakışıyor.
Aktif güvenlik açığı sömürüsü ve büyük ölçekli kaba kuvvet kampanyaları kombinasyonu, Tomcat altyapısına artan tehdit aktörünün ilgisini arttırarak, internete maruz kalan Tomcat hizmetlerine sahip kuruluşlar için hemen savunma eylemini önemli hale getiriyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin