Apache Vakfı, dünya çapında siber güvenlik uzmanları ve kuruluşları arasında derhal endişe yaratan yaygın olarak kullanılan yazılım platformlarından ikisi olan Apache Tomcat ve Apache Camel’i etkileyen birkaç kritik güvenlik açıkını açıkladı.
Java tabanlı web uygulamalarını çalıştırmak için popüler bir platform olan Apache Tomcat’in CVE-2025-24813 olarak tanımlanan ciddi bir kusur olduğu bulundu.
Bu güvenlik açığı, 9.0.0.m1 ila 9.0.98, 10.1.0-M1 ila 10.1.34 ve 11.0.0-m ila 11.0.2 sürümlerini etkileyen bu güvenlik açığı, oturum kalıcılığı sağlandığında kısmi Put özelliğini kullanarak uzaktan kod yürütülmesine (RCE) izin verir.
Popüler Apache yazılımındaki kritik kusurlar maruz kaldı
Kusur, saldırganların hazırlanmış HTTP istekleri aracılığıyla diskteki serileştirilmiş oturum dosyalarını üzerine yazmalarını ve sonuçta TOMCAT ayrıcalıklarıyla kötü amaçlı kod yürütmelerini sağlar.
Eşzamanlı olarak, Apache, CVE-2025-27636 ve CVE-2025-29891 olarak etiketlenmiş bir mesaj yönlendirme ara katman yazılımı çerçevesi olan Apache Deve’de iki ek RCE güvenlik açığı ortaya çıkardı.
Bunlar, 4.10.0 ila 4.10.1, 4.8.0 ila 4.8.4 ve 3.10.0 ila 3.22.3 sürümlerini etkiler, bu da saldırganların vaka duyarlı mantık nedeniyle başlık filtrelerini atlamasına ve keyfi komutlar yürütmesine izin verir, bu da potansiyel olarak ters kabuk saldırılarına yol açar.
Bu güvenlik açıklarının ifşa edilmesi, siber tehdit manzarasından hızlı bir yanıtı tetikledi ve araştırmacılar, vahşi doğada algılanan savunmasız sunucular için kavram kanıtı (POC) istismarları ve taramaları yayınladı.
Palo Alto Networks, sadece Mart 2025’te 70’den fazla ülkeden kaynaklanan bu kusurlarla ilgili 125.856 prob, tarama ve sömürü denemelerini engellediğini bildirdi.
Hızlı sömürü
Etkinlik, açıklamanın ilk haftasında zirve yaptı, bu da çekirdek tarayıcısı gibi otomatik tarayıcıların varlığını ve aktif sömürü girişimlerini gösterdi.
CVE-2025-24813 için, istismar girişimleri genellikle belirli oturum adları ve içerik menzili başlıkları ile HTTP Put İstekleri ile kötü niyetli yüklerin düzenlenmesini ve ardından HTTP GET kötü amaçlı kodun sazipliğini tetiklemek için isteklerini içeriyordu.
Benzer şekilde, Apache Camel, komutları yürütmek için kaldıraçlı manipüle edilmiş başlıkları kullanır ve bazı girişimler bant dışı uygulama güvenlik testi (OAST) sunucularına bağlantı kurmayı amaçlar.
Milyonlarca geliştirici tarafından Apache yazılımının yaygın kullanımı ile birleştiğinde, bu kusurlardan yararlanmanın kolaylığı, başarılı saldırılar veri ihlallerine veya yanal ağ hareketine yol açabileceğinden şiddetlerinin altını çiziyor.
Palo Alto Networks, kuruluşları hemen yamalar uygulamaya çağırdı ve yeni nesil güvenlik duvarlarının gelişmiş tehdit önleme, gelişmiş URL filtreleme ve Cortex Xpanse, kötü niyetli trafiği ve dışsal savunmasız sunucuları tanımlayarak ve engelleyerek riskleri hafifletmeye yardımcı olabileceğini vurguladı.
Bir uzlaşmadan şüphelenenler için, ünite 42 olay müdahale ekibi yardım için hazırdır. Aşağıda, bu saldırılarda gözlenen uzlaşma (IOCS) temel göstergelerini özetleyen bir tablo bulunmaktadır.
Uzlaşma göstergeleri (IOC’ler
| Güvenlik açığı | Tip | Detaylar |
|---|---|---|
| CVE-2025-24813 (Tomcat) | Kaynak IP adresleri | 54.193.62.84, 96.113.95.10, 209.189.232.134, 162.241.149.101, 167.172.67.75, vb. |
| Etkinlik URL’leri | Put /qdigu /oturum, /ulolje.session put | |
| SHA256 HASH BAĞLANTI | 6A9A0A3F0763A359737DA801A48C7A0A7A75D6FA81041821628891893773540, vb. | |
| CVE-2025-27636, CVE-2025-29891 (Deve) | Kaynak IP adresleri | 30.153.178.49, 54.147.173.17, 54.120.8.214, 139.87.112.169, 64.39.98.52, vb. |
| Etkinlik başlıkları | Camelhtprespressecode, CamelexeccomandExecutable, Camelexeccomandargs, CamelbeanMethodName |
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt