top of page

Falha crítica no Apache Tomcat é explorada apenas 30 horas após divulgação

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 17 de mar.
  • 2 min de leitura

Uma falha de segurança recentemente divulgada no Apache Tomcat começou a ser explorada ativamente apenas 30 horas após a publicação de uma prova de conceito (PoC).


A vulnerabilidade, identificada como CVE-2025-24813, afeta as seguintes versões:

  • Apache Tomcat 11.0.0-M1 a 11.0.2

  • Apache Tomcat 10.1.0-M1 a 10.1.34

  • Apache Tomcat 9.0.0-M1 a 9.0.98


Essa falha permite execução remota de código ou divulgação de informações confidenciais, desde que determinadas condições sejam atendidas:

  • Escrita habilitada para o servlet padrão (desabilitado por padrão)

  • Suporte para PUT parcial (habilitado por padrão)

  • Um URL de destino para uploads sensíveis dentro de um diretório público

  • O invasor conhece os nomes dos arquivos sensíveis que estão sendo enviados

  • Os arquivos sensíveis estão sendo enviados via PUT parcial


A exploração bem-sucedida dessa vulnerabilidade pode permitir que um hacker visualize arquivos confidenciais ou injete conteúdo malicioso nesses arquivos através de uma requisição PUT.


Além disso, um invasor pode obter execução remota de código se todas as seguintes condições forem atendidas:

  • Escrita habilitada para o servlet padrão (desabilitado por padrão)

  • Suporte para PUT parcial (habilitado por padrão)

  • O aplicativo utiliza persistência de sessão baseada em arquivos no Tomcat

  • O aplicativo contém uma biblioteca vulnerável a ataques de desserialização


Os mantenedores do projeto informaram que a vulnerabilidade foi corrigida nas versões Tomcat 9.0.99, 10.1.35 e 11.0.3.


No entanto, segundo a empresa Wallarm, hackers já estão explorando ativamente essa falha.


"Esse ataque explora o mecanismo padrão de persistência de sessão do Tomcat em conjunto com o suporte a requisições PUT parciais", afirmou a empresa.


O exploit funciona em duas etapas:

  1. O hacker envia um arquivo de sessão Java serializado via requisição PUT.

  2. Em seguida, aciona a desserialização ao referenciar a sessão maliciosa em uma requisição GET.


Em outras palavras, o ataque envolve enviar um payload Java serializado e codificado em Base64 para o diretório de armazenamento de sessão do Tomcat. Posteriormente, o código malicioso é executado quando o invasor faz uma requisição GET utilizando um JSESSIONID apontando para a sessão maliciosa.


A Wallarm destacou que a vulnerabilidade é trivial de explorar e não exige autenticação. O único requisito é que o Tomcat utilize armazenamento de sessão baseado em arquivos.


"Embora este exploit explore o armazenamento de sessão, o problema mais grave é o manuseio de PUT parcial no Tomcat, que permite o upload de praticamente qualquer arquivo em qualquer lugar", acrescentou a empresa."Em breve, hackers poderão modificar configurações, enviar arquivos JSP maliciosos e instalar backdoors fora do armazenamento de sessão."

Os administradores que utilizam versões afetadas do Tomcat devem atualizar suas instâncias imediatamente para mitigar os riscos associados a essa falha.


Via - THN

 
 
 

Коментарі

bottom of page