Uma falha de segurança recentemente divulgada, que afeta o Apache Tomcat, começou a ser explorada ativamente após a publicação de um prova de conceito (PoC) público apenas 30 horas após a sua divulgação.
A vulnerabilidade, identificada como
CVE-2025-24813
, afeta as seguintes versões:
- Apache Tomcat 11.0.0-M1 até 11.0.2
- Apache Tomcat 10.1.0-M1 até 10.1.34
- Apache Tomcat 9.0.0-M1 até 9.0.98
Ela se refere a um cenário de execução remota de código ou divulgação de informações quando certas condições são atendidas:
- Permissão de escrita habilitada para o servlet padrão (desabilitado por padrão)
- Suporte para PUT parcial (habilitado por padrão)
- Uma URL de destino para uploads sensíveis à segurança que é um subdiretório de uma URL de destino para uploads públicos
- Conhecimento, por parte do atacante, dos nomes dos arquivos sensíveis à segurança sendo carregados
- Os arquivos sensíveis à segurança também estão sendo carregados via PUT parcial
A exploração bem-sucedida poderia permitir a um usuário malicioso visualizar arquivos sensíveis à segurança ou injetar conteúdo arbitrário nesses arquivos por meio de uma requisição PUT.
Além disso, um atacante poderia alcançar execução remota de código se todas as seguintes condições fossem verdadeiras:
- Permissão de escrita habilitada para o servlet padrão (desabilitado por padrão)
- Suporte para PUT parcial (habilitado por padrão)
- A aplicação estava usando a persistência de sessão baseada em arquivo do Tomcat com o local de armazenamento padrão
- A aplicação incluía uma biblioteca que poderia ser aproveitada em um ataque de deserialização
Em um aviso divulgado na semana passada, os mantenedores do projeto disseram que a vulnerabilidade foi resolvida nas versões 9.0.99, 10.1.35 e 11.0.3 do Tomcat.
Mas, de forma preocupante, a vulnerabilidade já está sendo alvo de tentativas de exploração no ambiente real, segundo a Wallarm.
"Este ataque se aproveita do mecanismo de persistência de sessão padrão do Tomcat, juntamente com seu suporte para solicitações PUT parciais", disse a empresa.
"O exploit funciona em dois passos: O atacante carrega um arquivo de sessão Java serializado via requisição PUT.
O atacante dispara a deserialização referenciando o ID da sessão maliciosa em uma requisição GET."
Em outras palavras, os ataques envolvem o envio de uma requisição PUT contendo uma payload Java serializada codificada em Base64, que é escrita no diretório de armazenamento de sessão do Tomcat, que, subsequentemente, é executada durante a deserialização ao enviar uma requisição GET com o JSESSIONID apontando para a sessão maliciosa.
A Wallarm também observou que a vulnerabilidade é trivial de explorar e não requer autenticação.
O único pré-requisito é que o Tomcat use armazenamento de sessão baseado em arquivo.
"Embora esse exploit abuse do armazenamento de sessão, o problema maior é o manejo do PUT parcial no Tomcat, que permite carregar praticamente qualquer arquivo em qualquer lugar", acrescentou.
"Os atacantes logo começarão a mudar suas táticas, carregando arquivos JSP maliciosos, modificando configurações e plantando backdoors fora do armazenamento de sessão."
Usuários que executam as versões afetadas do Tomcat são aconselhados a atualizar suas instâncias o mais rápido possível para mitigar ameaças potenciais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...