Cacat keamanan yang baru-baru ini diungkapkan yang berdampak pada Apache Tomcat telah berada di bawah eksploitasi aktif di alam liar setelah pelepasan bukti-konsep publik (POC) hanya 30 jam setelah pengungkapan publik.
Kerentanan, dilacak sebagai CVE-2025-24813mempengaruhi versi di bawah ini –
- Apache Tomcat 11.0.0-M1 hingga 11.0.2
- Apache Tomcat 10.1.0-M1 hingga 10.1.34
- Apache Tomcat 9.0.0-M1 hingga 9.0.98
Ini menyangkut kasus eksekusi kode jarak jauh atau pengungkapan informasi saat kondisi tertentu dipenuhi –
- Menulis diaktifkan untuk servlet default (dinonaktifkan secara default)
- Dukungan untuk put parsial (diaktifkan secara default)
- URL target untuk unggahan sensitif keamanan yang merupakan sub-direktori URL target untuk unggahan publik
- Pengetahuan penyerang tentang nama file sensitif keamanan yang diunggah
- File sensitif keamanan juga diunggah melalui put parsial
Eksploitasi yang berhasil dapat memungkinkan pengguna jahat untuk melihat file yang sensitif terhadap keamanan atau menyuntikkan konten sewenang -wenang ke dalam file -file tersebut melalui permintaan put.
Selain itu, penyerang dapat mencapai eksekusi kode jarak jauh jika semua kondisi berikut ini benar –
- Menulis diaktifkan untuk servlet default (dinonaktifkan secara default)
- Dukungan untuk put parsial (diaktifkan secara default)
- Aplikasi menggunakan ketekunan sesi berbasis file Tomcat dengan lokasi penyimpanan default
- Aplikasi termasuk perpustakaan yang mungkin dimanfaatkan dalam serangan deserialisasi
Dalam penasihat yang dirilis minggu lalu, pengelola proyek mengatakan kerentanan telah diselesaikan dalam versi Tomcat 9.0.99, 10.1.35, dan 11.0.3.
Namun dalam putaran yang memprihatinkan, kerentanan sudah melihat upaya eksploitasi di alam liar, per wallarm.
“Serangan ini memanfaatkan mekanisme kegigihan sesi default Tomcat bersama dengan dukungannya untuk permintaan sebagian,” kata perusahaan itu.
“Eksploitasi bekerja dalam dua langkah: penyerang mengunggah file sesi java serial melalui permintaan put. Penyerang memicu deserialisasi dengan merujuk ID sesi berbahaya dalam permintaan GET.”
Disihkan secara berbeda, serangan itu memerlukan pengiriman permintaan put yang berisi payload Java serial-encoded yang ditulis ke Direktori Penyimpanan Sesi Tomcat, yang kemudian dieksekusi selama deserialisasi dengan mengirimkan permintaan GET dengan JSessionid menunjuk ke sesi jahat.
Wallarm juga mencatat bahwa kerentanan itu sepele untuk dieksploitasi dan tidak memerlukan otentikasi. Satu-satunya prasyarat adalah bahwa Tomcat menggunakan penyimpanan sesi berbasis file.
“Sementara ini mengeksploitasi penyimpanan sesi, masalah yang lebih besar adalah penanganan sebagian di Tomcat, yang memungkinkan pengunggahan secara praktis file mana pun di mana saja,” tambahnya. “Penyerang akan segera mulai menggeser taktik mereka, mengunggah file JSP berbahaya, memodifikasi konfigurasi, dan menanam backdoors di luar penyimpanan sesi.”
Pengguna yang menjalankan versi Tomcat yang terpengaruh disarankan untuk memperbarui contoh mereka sesegera mungkin untuk mengurangi potensi ancaman.
