Perusahaan intelijen ancaman Greynoise telah memperingatkan “aktivitas brute-force yang terkoordinasi” yang menargetkan antarmuka manajer Apache Tomcat.
Perusahaan mengatakan mengamati lonjakan upaya-upaya brute-force dan login pada 5 Juni 2025, sebuah indikasi bahwa mereka dapat menjadi upaya yang disengaja untuk “mengidentifikasi dan mengakses layanan Tomcat yang terpapar pada skala.”
Untuk itu, 295 alamat IP unik telah ditemukan terlibat dalam upaya-upaya kasar terhadap Tomcat Manager pada tanggal itu, dengan semuanya diklasifikasikan sebagai jahat. Selama 24 jam terakhir, 188 IP unik telah direkam, mayoritas dari mereka yang berlokasi di Amerika Serikat, Inggris, Jerman, Belanda, dan Singapura.
Dalam nada yang sama, 298 IP unik diamati melakukan upaya login terhadap contoh manajer Tomcat. Dari 246 alamat IP yang ditandai dalam 24 jam terakhir, semuanya dikategorikan sebagai jahat dan berasal dari lokasi yang sama.
Target upaya ini termasuk Amerika Serikat, Inggris, Spanyol, Jerman, India, dan Brasil untuk periode waktu yang sama. Greynoise mencatat bahwa sebagian besar kegiatan tersebut berasal dari infrastruktur yang diselenggarakan oleh Digitalocean (ASN 14061).
“Meskipun tidak terikat pada kerentanan tertentu, perilaku ini menyoroti minat berkelanjutan dalam layanan Tomcat yang terpapar,” tambah perusahaan. “Kegiatan luas, oportunistik seperti ini sering berfungsi sebagai peringatan dini tentang eksploitasi di masa depan.”
Untuk mengurangi potensi risiko, organisasi dengan antarmuka Tomcat Manager yang terpapar disarankan untuk menerapkan otentikasi yang kuat dan pembatasan akses, dan memantau tanda -tanda aktivitas yang mencurigakan.
Pengungkapan datang ketika Bitsight mengungkapkan bahwa mereka menemukan lebih dari 40.000 kamera keamanan yang dapat diakses secara terbuka di internet, berpotensi memungkinkan siapa pun untuk mengakses umpan video langsung yang ditangkap oleh perangkat ini melalui HTTP atau Protokol Streaming Real-Time (RTSP). Eksposur terkonsentrasi di Amerika Serikat, Jepang, Austria, Ceko, dan Korea Selatan.
Sektor telekomunikasi menyumbang 79%dari kamera yang terpapar, diikuti oleh teknologi (6%), media (4,1%), utilitas (2,5%), pendidikan (2,2%), layanan bisnis (2,2%), dan pemerintah (1,2%).
Instalasi berkisar dari yang dipasang di tempat tinggal, kantor, sistem transportasi umum, dan pengaturan pabrik, secara tidak sengaja membocorkan informasi sensitif yang kemudian dapat dieksploitasi untuk spionase, penguntit, dan pemerasan.
Pengguna disarankan untuk mengubah nama pengguna dan kata sandi default, menonaktifkan akses jarak jauh jika tidak diperlukan (atau membatasi akses dengan firewall dan VPN), dan menjaga firmware terkini.
“Kamera -kamera ini – yang ditujukan untuk keamanan atau kenyamanan – secara tidak sengaja menjadi jendela publik ke ruang sensitif, seringkali tanpa sepengetahuan pemiliknya,” kata peneliti keamanan João Cruz dalam sebuah laporan yang dibagikan kepada Hacker News.
“Tidak peduli alasan mengapa satu individu atau organisasi membutuhkan perangkat semacam ini, fakta bahwa siapa pun dapat membelinya, mencolokkannya, dan mulai mengalir dengan pengaturan minimal kemungkinan mengapa ini masih merupakan ancaman yang berkelanjutan.”
