Een onlangs onthulde beveiligingsfout in Apache Tomcat wordt actief uitgebuit, na de vrijlating van een openbare proof-of-concept (PoC) gewoon 30 uren na de bekendmaking.
Betrokken Apache Tomcat-versies
De kwetsbaarheid, gevolgd als CVE-2025-24813, heeft invloed op de volgende versies:
- Apache Tomcat 11.0.0-M1 naar 11.0.2
- Apache Tomcat 10.1.0-M1 naar 10.1.34
- Apache Tomcat 9.0.0-M1 naar 9.0.98
Hoe de kwetsbaarheid werkt
Het probleem is het gevolg van een combinatie van factoren, Inclusief:
- Schrijfbewerkingen ingeschakeld voor de standaard servlet (standaard uitgeschakeld)
- Ondersteuning voor gedeeltelijke PUT (standaard ingeschakeld)
- Een doel-URL voor beveiligingsgevoelige uploads die zich in een openbare uploaddirectory bevinden
- Een aanvaller die kennis heeft van beveiligingsgevoelige bestandsnamen
- Het uploaden van beveiligingsgevoelige bestanden via gedeeltelijke PUT
Succesvolle exploitatie stelt aanvallers in staat om gevoelige bestanden bekijken of wijzigen via PUT-verzoeken. Onder bepaalde omstandigheden, aanvallers kunnen ook willekeurige code uitvoeren.
uitvoering van externe code (RCE) is mogelijk als aan de volgende voorwaarden wordt voldaan:
- Schrijfbewerkingen ingeschakeld voor de standaard servlet
- Ondersteuning voor gedeeltelijke PUT ingeschakeld
- De applicatie maakt gebruik van Bestandsgebaseerde sessiepersistentie van Tomcat op de standaard opslaglocatie
- De applicatie bevat een bibliotheek die kwetsbaar is voor deserialisatieaanvallen
Volgens Muurarm, aanvallers misbruiken de kwetsbaarheid met behulp van een proces in twee stappen:
- De aanvaller uploadt een geserialiseerd Java-sessiebestand via een PUT-verzoek.
- De aanvaller activeert deserialisatie door een GET-verzoek te sturen met een JSESSIONID die verwijst naar de kwaadaardige sessie.
De aanval maakt gebruik van een Base64-gecodeerde geserialiseerde Java-payload die is geschreven naar de sessieopslagdirectory van Tomcat, die later wordt uitgevoerd bij deserialisatie.
Ernst en mogelijke gevolgen
Wallarm merkt op dat de kwetsbaarheid eenvoudig te misbruiken is en dat er geen authenticatie nodig is. Het grootste risico ligt in de manier waarop Tomcat omgaat met gedeeltelijke PUT-verzoeken, waardoor aanvallers schadelijke JSP-bestanden kunnen uploaden, configuraties wijzigen, en plant achterdeurtjes.
De kwetsbaarheid is versteld in de volgende Apache Tomcat-versies:
- Apache Tomcat 9.0.99
- Apache Tomcat 10.1.35
- Apache Tomcat 11.0.3
Gebruikers die de betreffende versies gebruiken, moeten hun Tomcat-instanties onmiddellijk bijwerken om misbruik te voorkomen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: