Yıkıcı yeni bir uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2025-24813, şimdi vahşi doğada aktif olarak sömürülmektedir. Saldırganların savunmasız Apache Tomcat sunucularını devralmak için sadece bir API isteğine ihtiyacı var. Başlangıçta bir Çin forumu kullanıcısı ISEE857 tarafından yayınlanan istismar zaten çevrimiçi olarak mevcuttur: ISEE857 tarafından CVE-2025-24813 POC.
Swokit Breaddown: Basit bir isteği nasıl tam RCE’ye yol açar?
Bu saldırı, Tomcat’ın varsayılan oturum kalıcılık mekanizmasını, kısmi Put taleplerine verdiği destekle birlikte kullanıyor. İstismar iki adımda çalışır:
- Saldırgan, Put Talep aracılığıyla serileştirilmiş bir Java oturum dosyası yükler
- Saldırgan, bir GET isteğinde kötü amaçlı oturum kimliğine atıfta bulunarak sealizasyonu tetikler
1. Adım: Kötü amaçlı serileştirilmiş bir oturumun yüklenmesi
Saldırgan, sunucuya kötü amaçlı bir oturum dosyası yüklemek için bir isteği göndererek başlar. Yük, sazipleştiğinde uzaktan kod yürütmeyi tetiklemek için tasarlanmış Base64 kodlu bir ysoserial gadget zinciridir.
Bu istek Tomcat’ın Oturum Depolama Dizini içinde bir dosya yazar. Tomcat, oturum verilerini dosyalarda otomatik olarak kaydettiğinden, kötü amaçlı yük yükü artık diskte depolanır ve seansalize olmayı bekler
2. Adım: Oturum çerezi yoluyla yürütmeyi tetiklemek
Oturum dosyası yüklendikten sonra, saldırgan, JSessionId’in kötü amaçlı oturumu işaret etmesi ile basit bir GET isteği göndererek serileştirmeyi tetikler.
GET / HTTP/1.1 Host: vulnerable.host:8080 Cookie: JSESSIONID=iSee857
Bu oturum kimliğini gören Tomcat, depolanan dosyayı alır, serisini alır ve Saldırgana tam uzaktan erişim sağlayarak gömülü Java kodunu yürütür.
Bu istismar neden bu kadar tehlikeli
Bu saldırının yürütülmesi basittir ve kimlik doğrulaması gerektirmez. Tek gereksinim, Tomcat’in birçok dağıtımda yaygın olan dosya tabanlı oturum depolama alanı kullanmasıdır. Daha da kötüsü, Base64 kodlaması, istismarın çoğu geleneksel güvenlik filtresini atlamasına izin vererek algılamayı zorlaştırır.
Geleneksel WAF’ler neden başarısız
- Çoğu Web Uygulaması Güvenlik Duvarı (WAFS) bu saldırıyı tamamen özlüyor çünkü:
- Put isteği normal görünüyor ve belirgin kötü niyetli içerik içermiyor.
- Yük baz kodludur, desen tabanlı algılamayı önler.
- Saldırı iki adımdır, burada zararlı parçanın sadece sazizleşme sırasında yürütüldüğü.
Çoğu WAF, yüklenen dosyaları derinden denetlemez veya çok aşamalı istismarları izlemez.
Bu, bir kuruluşun günlüklerindeki ihlali algıladığı zaman, zaten çok geç olduğu anlamına gelir.
Wallarm bu saldırıyı gerçek zamanlı olarak nasıl engeller?
Geleneksel WAF’lerin aksine, Wallarm’ın API güvenlik platformu bu tehditleri otomatik olarak algılar ve engeller, manuel ayar gerekmez. Bunu:
- Analizden önce Base64 yüklerinin kodunu çözme, gizli saldırıları ortaya çıkarır.
- Serileştirilmiş Java nesnelerini açarak ve incelemek, ysoserial istismarları anında tespit eder.
- Bir oturum dosyasının yüklenmesinin kod yürütülmesine yol açtığını kabul etmek, çok adımlı saldırıları izlemek.
- Kötü niyetli API isteklerinin gerçek zamanlı olarak engellenmesi, oturum dosyasının kullanılmasını önleyerek.
CVE-2025-24813’ün geleceği: daha fazla RCE Gelen
Bu istismar oturum depolamasını istismar ederken, daha büyük sorun, Tomcat’te kısmi konma işlemidir ve bu da herhangi bir dosyanın herhangi bir yere yüklenmesine izin verir. Saldırganlar yakında taktiklerini değiştirmeye, kötü niyetli JSP dosyalarını yüklemeye, yapılandırmaları değiştirmeye ve oturum depolama alanının dışındaki arka kapıları dikmeye başlayacaklar. Bu sadece ilk dalga.
Gerçek şu ki, CVES için beklemek, WAF kurallarını eklemek ve günlüklerin tehdit yakalayacağını ummak – kaybedilen bir oyundur. CVE-2025-24813, açıklamadan sadece 30 saat içinde kamu istismarına gitti. Tek etkili savunma, tehditleri gerçekleştikçe engelleyen gerçek zamanlı API güvenliğidir.
Gerçek Zamanlı API Güvenliği: İleriye dönük tek yol
Kuruluşların miras WAF’lerin ötesinde güvenliği yeniden düşünmesi ve ihlal sonrası adli analizi yeniden düşünmeleri gerekmektedir. Çözüm, gerçek zamanlı tespit, otomatik kod çözme ve derin incelemede yatmaktadır. Wallarm’ın proaktif güvenliği şunları sağlar:
- Her istek sadece desen eşleştirilmiş değil, derinden analiz edilir.
- Yükler kod çözülür ve paketlenir, gizli istismarları ortaya çıkarır.
- Gizleme kullanıldığında bile çok adımlı saldırılar engellenir.
CVE-2025-24813 sadece başlangıç. Saldırganlar gelişiyor ve güvenlik daha hızlı gelişmeli. Wallarm ile kuruluşlar tehdit eğrisinin önünde kalırlar – geride bir istismar değil. API güvenliği ile başlamaya hazır mısınız? Wallarm ürün turunu şimdi alın!