Ataques coordenados de força bruta atingem Apache Tomcat Manager a partir de 295 IPs maliciosos

A empresa de inteligência de ameaças GreyNoise detectou uma campanha coordenada de ataques de força bruta direcionada às interfaces do Apache Tomcat Manager, um componente amplamente utilizado em servidores web corporativos. O alerta foi emitido após a identificação de 295 endereços IP maliciosos, que, em 5 de junho de 2025, realizaram tentativas de login em larga escala com o objetivo de explorar serviços Tomcat expostos na internet.

Segundo a GreyNoise, a maioria dos IPs envolvidos na campanha está localizada nos Estados Unidos, Reino Unido, Alemanha, Holanda e Singapura, e uma parcela significativa da atividade se originou de servidores da DigitalOcean. Nas últimas 24 horas antes do relatório, 188 IPs exclusivos foram registrados realizando ataques similares, todos classificados como maliciosos, com foco em alvos distribuídos entre EUA, Reino Unido, Espanha, Alemanha, Índia e Brasil. Embora não estejam associados a uma vulnerabilidade específica, esses ataques oportunistas demonstram o interesse contínuo de hackers por interfaces expostas do Tomcat Manager.

A empresa reforça que campanhas amplas como essa servem frequentemente como indicadores iniciais de futuras explorações, e aconselha as organizações a implementarem medidas de mitigação imediatas, como autenticação forte, restrições de acesso, segmentação de rede e monitoramento ativo de logs e padrões anômalos de acesso. Tais medidas são cruciais para proteger instâncias Tomcat contra invasões e controle não autorizado.

Em paralelo, a Bitsight divulgou um estudo alarmante revelando a existência de mais de 40 mil câmeras de segurança acessíveis publicamente na internet, operando sem autenticação adequada via HTTP ou RTSP. Essas câmeras, distribuídas principalmente nos Estados Unidos, Japão, Áustria, República Tcheca e Coreia do Sul, foram localizadas em ambientes diversos — desde residências e escritórios até fábricas e sistemas de transporte público. O risco vai além da invasão de privacidade, podendo resultar em espionagem, perseguição ou extorsão.

O setor de telecomunicações responde por 79% dos dispositivos expostos, seguido por áreas como tecnologia, mídia, governo e educação. Especialistas recomendam desabilitar o acesso remoto, manter o firmware atualizado e alterar usuários e senhas padrão como forma básica de proteção. Como alerta o pesquisador de segurança João Cruz, “essas câmeras, muitas vezes instaladas por conveniência, acabam se tornando janelas abertas para ambientes sensíveis — sem que seus donos sequer saibam disso.”

Via - THN