威胁行为者在一个概念验证(PoC)漏洞利用代码发布后,立即开始利用最近披露的Apache Tomcat 漏洞。
一个新披露的Apache Tomcat 漏洞,编号为 CVE-2025-24813,在公开的概念验证代码发布仅 30 小时后就遭到了积极利用。
该问题是Apache Tomcat 中的一个路径等效性缺陷,在满足特定条件的情况下,它会导致远程代码执行或信息泄露。该漏洞影响多个版本,包括 11.0.0-M1 到 11.0.2、10.1.0-M1 到 10.1.34 以及 9.0.0.M1 到 9.0.98。利用该漏洞需要启用可写的默认 Servlet、部分支持 PUT 请求以及特定的文件处理条件。
相关公告中写道:“部分 PUT 请求的原始实现使用了一个基于用户提供的文件名和路径的临时文件,其中路径分隔符被替换成了‘.’。”
“如果以下所有条件都成立,恶意用户就能够查看安全敏感文件和 / 或向这些文件中注入内容:
1.为默认 Servlet 启用了写入功能(默认情况下是禁用的)
2.支持部分 PUT 请求(默认情况下是启用的)
3.安全敏感文件上传的目标 URL 是公开文件上传目标 URL 的子目录
4.攻击者知道正在上传的安全敏感文件的名称
5.安全敏感文件也通过部分 PUT 请求进行上传
如果以下所有条件都成立,恶意用户就能够执行远程代码:
1.为默认 Servlet 启用了写入功能(默认情况下是禁用的)
2.支持部分 PUT 请求(默认情况下是启用的)
3.应用程序使用了Apache Tomcat 基于文件的会话持久化功能,并且使用的是默认存储位置
4.应用程序包含一个可能会在反序列化攻击中被利用的库”
Apache Tomcat 的 9.0.99、10.1.35 和 11.0 版本修复了该漏洞。
Wallarm 的研究人员证实了该漏洞正在被积极利用,并补充称攻击者只需发送一个 PUT API 请求就能劫持Apache Tomcat 服务器。概念验证代码已在网上发布。
Wallarm 发布的公告中写道:“一个极具破坏力的新远程代码执行(RCE)漏洞,即 CVE-2025-24813,目前正在被广泛利用。攻击者只需一个 PUT API 请求就能控制易受攻击的Apache Tomcat 服务器。最初由中国某论坛用户 iSee857 发布的漏洞利用代码,现在已经可以在网上获取:iSee857 发布的 CVE-2025-24813 概念验证代码。”
这种攻击通过上传恶意的 Java 会话文件,并通过 GET 请求触发反序列化操作,从而利用了Apache Tomcat 的会话持久化功能和部分 PUT 请求。
攻击过程包括两个步骤:
1.上传恶意的序列化会话文件 —— 攻击者发送一个包含经过 Base64 编码的 ysoserial 工具链的 PUT 请求,将其存储在Apache Tomcat 的会话目录中。
2.通过会话 Cookie 触发执行 —— 发送一个带有引用恶意会话的 JSESSIONID 的 GET 请求,迫使Apache Tomcat 对负载进行反序列化并执行,从而实现远程访问。
公告总结道:“这种攻击执行起来极其简单,而且不需要身份验证。唯一的要求是Apache Tomcat 使用的是基于文件的会话存储,这在许多部署中很常见。更糟糕的是,Base64 编码使得该漏洞利用能够绕过大多数传统的安全过滤器,增加了检测的难度。”
Wallarm 的研究人员警告称,大多数 Web 应用防火墙(WAF)无法检测到这种攻击,因为 PUT 请求看起来很正常,而且没有明显的恶意内容。负载经过了 Base64 编码,能够逃避基于模式的检测,而且攻击分两个步骤进行,只有在反序列化过程中才会执行恶意代码。此外,大多数 Web 应用防火墙不会深入检查上传的文件,也不会追踪多步骤的漏洞利用行为。因此,等到组织在日志中发现被入侵的情况时,往往已经为时已晚。
建议用户立即更新受影响的Apache Tomcat 版本,以降低潜在威胁。
发表评论
您还未登录,请先登录。
登录