A empresa de threat intelligence GreyNoise alertou para uma "atividade de brute-force coordenada" visando as interfaces do Apache Tomcat Manager.
A companhia relatou ter observado um aumento nos ataques de brute-force e tentativas de login no dia 5 de junho de 2025, indicando que poderiam ser esforços deliberados para "identificar e acessar serviços Tomcat expostos em grande escala".
Para esse fim, 295 endereços IP únicos foram encontrados participando de tentativas de brute-force contra o Tomcat Manager nessa data, todos classificados como maliciosos.
Nas últimas 24 horas, 188 IPs únicos foram registrados, a maioria deles localizados nos Estados Unidos, Reino Unido, Alemanha, Países Baixos e Singapura.
De maneira similar, 298 IPs únicos foram observados conduzindo tentativas de login contra instâncias do Tomcat Manager.
Dos 246 endereços IP sinalizados nas últimas 24 horas, todos eles são categorizados como maliciosos e originários das mesmas localidades.
Os alvos dessas tentativas incluem os Estados Unidos, Reino Unido, Espanha, Alemanha, Índia e Brasil para o mesmo período de tempo.
A GreyNoise notou que uma parte significativa da atividade veio de infraestrutura hospedada pela DigitalOcean (ASN 14061).
"Embora não atrelada a uma vulnerabilidade específica, esse comportamento destaca um interesse contínuo nos serviços Tomcat expostos", acrescentou a empresa.
Atividades amplas e oportunistas como esta frequentemente servem como um alerta precoce de futuras explorações.
Para mitigar quaisquer riscos potenciais, organizações com interfaces do Tomcat Manager expostas são recomendadas a implementar autenticação forte e restrições de acesso, além de monitorar quaisquer sinais de atividades suspeitas.
A divulgação acontece ao mesmo tempo em que a Bitsight revelou ter encontrado mais de 40.000 câmeras de segurança abertamente acessíveis na internet, potencialmente permitindo a qualquer um acessar feeds de vídeo ao vivo capturados por esses dispositivos via HTTP ou Real-Time Streaming Protocol (RTSP).
As exposições estão concentradas nos Estados Unidos, Japão, Áustria, Tchéquia e Coreia do Sul.
O setor de telecomunicações responde por 79% das câmeras expostas, seguido por tecnologia (6%), mídia (4,1%), utilidades (2,5%), educação (2,2%), serviços empresariais (2,2%) e governo (1,2%).
As instalações variam entre residências, escritórios, sistemas de transporte público e ambientes fabris, vazando inadvertidamente informações sensíveis que poderiam, então, ser exploradas para espionagem, perseguição e extorsão.
Os usuários são aconselhados a mudar nomes de usuário e senhas padrão, desabilitar o acesso remoto se não for necessário (ou restringir o acesso com firewalls e VPNs) e manter o firmware atualizado.
"Essas câmeras – destinadas para segurança ou conveniência – inadvertidamente se transformaram em janelas públicas para espaços sensíveis, muitas vezes sem o conhecimento de seus proprietários", disse o pesquisador de segurança João Cruz em um relatório compartilhado com a imprensa.
"Não importa a razão pela qual um indivíduo ou organização precisa desse tipo de dispositivo, o fato de que qualquer um pode comprar um, conectar e começar a transmitir com configuração mínima é provavelmente por que isso ainda é uma ameaça constante."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...