深度简报:
周四,GreyNoise 的研究人员报告称,Apache Tomcat Web 服务器软件中的严重远程代码执行漏洞 CVE-2025-24813 正在被积极利用。这个路径等效性缺陷于 3 月 10 日首次披露,影响该开源软件的多个版本,包括 11.0.0-M1 至 11.0.2、10.1.0-M1 至 10.1.34 以及 9.0.0.M1 至 9.0.98。
网络安全初创公司 Wallarm 于 3 月 17 日首次报告了利用该漏洞的活动,此前一个用于 “极其简单” 攻击的概念验证利用代码在中国的一个论坛上发布。
一些安全研究人员和供应商指出,成功利用 Apache Tomcat 漏洞需要特定的、非默认的配置,而这种配置似乎并不常见。
深度洞察:
GreyNoise 表示,它观察到有四个不同的 IP 地址试图利用 CVE-2025-24813,但指出目前的恶意活动源于使用概念验证利用代码的 “初级攻击者”。GreyNoise Intelligence 的内容主管 Noah Stone写道:“攻击者正在利用部分 PUT 方法注入恶意有效载荷,这可能导致在易受攻击的系统上执行任意代码。”
Stone 补充说,70% 的攻击活动针对的是位于美国的 Apache Tomcat 实例,同时也有针对日本、印度、韩国和墨西哥服务器的攻击。Stone表示:“鉴于 Apache Tomcat 的广泛部署,这些早期活动迹象表明可能会有更多的利用行为随之而来。”
Cloudflare 周四也发布了一篇博客文章,详细介绍了针对 CVE-2025-24813 的攻击流量。文章称:“观察到的大多数攻击有效载荷都是漏洞探测工具,旨在帮助攻击者确定目标服务器是否易受攻击。”
然而,Cloudflare 指出,要对易受攻击的 Apache Tomcat 服务器实现远程代码执行,需要一系列 “严格” 的条件,包括对部分 PUT 请求的支持。此外,Cloudflare 表示,攻击者必须熟悉目标组织 Web 服务器的内部文件命名约定以及目标文件系统的目录结构。
Rapid7 的漏洞情报总监 Caitlin Condon 也表示,利用该漏洞有几个要求。例如,她在一篇博客文章中指出,组织必须为默认 Servlet 启用写入功能,攻击才可能成功。康登写道:“根据我们以及其他研究公司的分析,成功利用该漏洞所需的条件似乎是特定的、非默认的,且不常见。” 她还补充说,由于这些要求,广泛的利用不太可能发生。
译文声明
本文是翻译文章,文章原作者 Rob Wright,文章来源:cybersecuritydive
译文仅供参考,具体内容表达以及含义原文为准。
还没有评论,来说两句吧...