Güvenlik araştırmacıları, CVE-2025-24813 olarak izlenen Apache Tomcat’teki bir Kritik Uzaktan Kod Yürütme (RCE) güvenlik açığının vahşi doğada aktif olarak kullanıldığını doğruladılar.
Saldırganların basit bir isteği ile sunucuların kontrolünü ele geçirmesini sağlayan güvenlik açığı geçen hafta açıklandı ve kavram kanıtı istismarları sadece 30 saat sonra GitHub’da yayınlandı.
Kritik kusur, Apache Tomcat’ın birden fazla versiyonunu etkiler: 11.0.0-m1 ila 11.0.2, 10.1.0-m1 ila 10.1.34 ve 9.0.0.m1 ila 9.0.98. İlk olarak Apache tarafından 10 Mart 2025’te açıklanan güvenlik açığı, saldırganların belirli koşullar altında güvenliğe duyarlı dosyalara keyfi içeriği görüntülemesine veya enjekte etmesine olanak tanır.
Wallarm güvenlik araştırmacıları, geleneksel güvenlik araçlarının bu saldırıları tespit edemediğini uyararak aktif sömürü girişimlerini doğruladılar, çünkü Put talepleri normal görünmektedir ve kötü niyetli içerik Base64 kodlaması kullanılarak gizlenmiştir.
Sömürü mekanizması
Saldırı, Tomcat’ın varsayılan oturum kalıcılığı mekanizmasını ve iki aşamalı bir işlemde kısmi Put taleplerine verdiği desteği kullanıyor:
1. Adım: Kötü amaçlı kod yükleme
Saldırgan, Tomcat’ın oturum depolamasına kaydedilen baz64 kodlu serileştirilmiş Java yükü içeren bir put isteği gönderir. Kötü amaçlı yük yükü kodlama yoluyla etkili bir şekilde gizlendiğinden, bu istek çoğu güvenlik filtresi için zararsız görünür.
2. Adım: Yürütmeyi Tetikleme
Kötü amaçlı dosya yüklendikten sonra, saldırgan yüklenen oturum dosyasına işaret eden bir JSessionId çereziyle bir GET isteği gönderir. Bu, Tomcat’ı, saldırgana tam kontrol sağlayarak kötü amaçlı Java kodunu seansize etmeye ve yürütmeye zorlar.
Wallarm analizlerinde “Bu saldırının yürütülmesi çok basit ve kimlik doğrulaması gerektirmediği” diye açıklıyor. “Tek gereklilik, Tomcat’in birçok dağıtımda yaygın olan dosya tabanlı oturum depolama alanı kullanmasıdır.”
Geleneksel Web Uygulaması Güvenlik Duvarları (WAFS) bu saldırıyı birkaç nedenden dolayı tespit etmek için mücadele ediyor:
- İlk Put isteği, belirgin kötü niyetli imzalar olmadan normal görünüyor
- Base64 kodlama, yükün desen tabanlı algılamayı atlamasını sağlar
- Saldırı birden fazla adımda ortaya çıkıyor ve seansizasyon sırasında yürütme meydana geliyor
- Çoğu güvenlik aracı, yüklenen dosyaları derinden denetlemez veya çok aşamalı saldırıları izlemez.
Kullanıcı ISEE857, istismar kodu içeren bir GitHub deposu oluşturdu. Depo, birden çok hedefte güvenlik açığını kontrol edebilen bir Python komut dosyasına sahiptir.
Hafifletme
Apache, tüm kullanıcıların CVE-2025-24813 için yamalar içeren 11.0.3+, 10.1.35+ veya 9.0.99+ TOMCAT sürümlerine yükseltilmesini önerir.
Hemen güncellenemeyen kuruluşlar için alternatif hafifletmeler şunları içerir:
- Varsayılan sunucu uygulaması yapılandırmasına geri dönme (readonly = ”true”)
- Kısmi Put desteğini kapatmak
- Kamu yükleme yollarının alt dizinlerinde güvenliğe duyarlı dosyaları depolamaktan kaçınmak
Güvenlik uzmanları, bunun sadece başlangıç olduğu konusunda uyarıyor, çünkü saldırganlar yakında taktiklerini oturum depolama sömürüsünün ötesinde geliştirecekler. Wallarm, “Saldırganlar yakında taktiklerini değiştirmeye, kötü niyetli JSP dosyalarını yüklemeye, konfigürasyonları değiştirmeye ve oturum depolama alanının dışına dikilmeye başlayacak.
Bu güvenlik açığının hızlı bir şekilde sömürülmesi, proaktif güvenlik önlemlerinin ve günümüz tehdit manzarasında hızlı bir şekilde yama yapmanın kritik önemini vurgulamaktadır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.