Dalış Kılavuzu:
- Araştırmacılar Güznoise Perşembe günü, Apache Tomcat Web Server yazılımında kritik bir uzaktan kod yürütme güvenlik açığı olan CVE-2025-24813’ün aktif olarak kullanıldığını bildirdi. İlk olarak 10 Mart’ta açıklanan yol eşdeğerliği kusuru, açık kaynak yazılımının 11.0.0-m1 ila 11.0.2, 10.1.0-m1 ila 10.1.34 ve 9.0.0.m1 ila 9.0.98 dahil olmak üzere çeşitli versiyonlarını etkiler.
- Sömürü faaliyeti ilk olarak, bir Çin forumunda “Ölü Basit” saldırılar için bir kavram kanıtı istismarının ardından 17 Mart’ta Cybersecurity Startup Wallarm tarafından bildirildi.
- Bazı güvenlik araştırmacıları ve satıcıları, Apache Tomcat güvenlik açığının başarılı bir şekilde kullanılmasının nadir görülen belirli, default olmayan yapılandırmalar gerektirdiğini belirtti.
Dalış içgörü:
Geynoise, CVE-2025-24813’ten yararlanmaya çalışan dört benzersiz IP adresi gözlemlediğini, ancak kötü niyetli etkinliğin şu anda bir POC istismarını kullanarak “saf saldırganlardan” kaynaklandığını belirtti. Greynoise Intelligence’ın içerik başkanı Noah Stone, “Saldırganlar kötü niyetli yükler enjekte etmek için kısmi bir yöntemden yararlanıyor, potansiyel olarak savunmasız sistemlerde keyfi kod uygulamasına yol açıyor.”
Stone, etkinliğin% 70’inin ABD merkezli Apache Tomcat örneklerine yöneldiğini ve Japonya, Hindistan, Güney Kore ve Meksika’daki sunucuları hedefleyen saldırılar olduğunu da sözlerine ekledi. Stone, “Apache Tomcat’ın yaygın konuşlandırılması göz önüne alındığında, bu erken faaliyet belirtileri daha fazla sömürünün takip edileceğini gösteriyor.” Dedi.
Cloudflare ayrıca Perşembe günü CVE-2025-24813’ü hedefleyen ayrıntılı saldırı trafiğini düzenleyen bir blog yazısı yayınladı. Post, “Gözlenen saldırı yüklerinin çoğu, saldırganların hedef sunucunun savunmasız olup olmadığını belirlemelerine yardımcı olmak için tasarlanmış güvenlik açığı problarıdır.” Dedi.
Bununla birlikte, Cloudflare, savunmasız Apache Tomcat sunucularına karşı uzaktan kod yürütülmesinin elde edilmesinin, kısmi Put taleplerine destek de dahil olmak üzere “sağlam” bir koşul kümesi gerektirdiğini belirtti. Ayrıca Cloudflare, saldırganların bir kuruluşun web sunucusu için dahili dosya adlandırma kurallarına ve hedefin dosya sisteminin dizin yapısına aşina olması gerektiğini söyledi.
Rapid7 güvenlik açığı zekası direktörü Caitlin Condon da sömürü için çeşitli gereksinimler olduğunu söyledi. Örneğin, bir blog yazısında, kuruluşların saldırıların başarılı olması için varsayılan sunucu uygulaması için yazma yapması gerektiğini belirtti. “Analizimize ve diğer araştırma firmalarına dayanarak, başarılı sömürü için gereken koşullar spesifik, tahliye dışı ve nadir görülüyor,” diye yazdı Condon, bu gereksinimler nedeniyle geniş sömürünün olası olmadığını da sözlerine ekledi.