Az Apache Tomcat legújabb, kritikus súlyosságú biztonsági hibája, a CVE-2025-24813 távoli kódfuttatást tesz lehetővé. A támadók egy egyszerű PUT kéréssel teljesen átvehetik az irányítást a kiszolgáló felett. A sérülékenységet már aktívan kihasználják, és alig 30 órával a hiba nyilvánosságra kerülése után bizonyító erejű (PoC) exploitok jelentek meg a GitHubon.
A támadás során a támadó egy PUT kérést küld, amely egy base64 kódolt Java payloadot tartalmaz. Ez a payload a Tomcat munkamenet tárolójában kerül elhelyezésre. Ezután egy GET kérést küld egy JSESSIONID sütivel, amely az előzőleg feltöltött munkamenet fájlra mutat. Ez arra kényszeríti a Tomcatet, hogy visszafejtse és végrehajtsa a rosszindulatú Java kódot. Ennek eredményeként a támadó teljes kontrollt szerezhet a kiszolgáló felett.
A támadás különösen veszélyes, mivel nem igényel hitelesítést, és a PUT kérések alapértelmezés szerint engedélyezettek. Tovább növeli a kockázatot, hogy a támadók base64 kódolást alkalmaznak, amely megnehezíti a hagyományos biztonsági eszközök számára a fenyegetés észlelését. Emellett a fájlalapú munkamenet-tárolás, amely számos konfigurációban jelen van, lehetőséget teremt a sérülékenység kihasználására, így a támadók könnyedén átvehetik az irányítást az érintett rendszerek felett.
A fejlesztők javasolják a biztonsági frissítés mielőbbi telepítését, és a következő verziók valamelyikére való frissítést:
- Apache Tomcat 11.0.3+
- Apache Tomcat 10.1.35+
- Apache Tomcat 9.0.99+
Ha a frissítés azonnal nem megvalósítható, az alábbi lépésekkel csökkenthető a támadás kockázata:
- Az alapértelmezett servlet konfiguráció visszaállítása (readonly=true)
- A részleges PUT támogatás letiltása
- A biztonsági szempontból érzékeny fájlok, a nyilvános feltöltési útvonalak alkönyvtárában való tárolásának elkerülése
A szervezetek számára létfontosságú a sérülékenység gyors befoltozása és a támadás elleni védekezési stratégiák kidolgozása, mivel a Tomcat széles körben elterjedt, és célpontként szolgálhat további támadásokhoz is.
