A GreyNoise Intelligence kiberbiztonsági kutatói egy jelentős, globálisan elosztott támadási kampányt azonosítottak, amely az Apache Tomcat Manager alkalmazás adminisztrációs felületeit célozza meg. A kampány aktivitása 2025. június 5-én érte el csúcsát, amikor a GreyNoise fenyegetésdetektáló rendszerei rendkívüli aktivitást észleltek, mintegy 400 egyedi IP-cím részvételével, ami egy jól szervezett és nagyszabású hozzáférési kísérletre utal. Ez a kampány a webalkalmazás szerverek ellen indított támadások egyik legnagyobb növekedését jelzi és a szakértők arra figyelmeztetnek, hogy az ilyen széleskörű szkennelési tevékenységek gyakran megelőzik a célzott, sérülékenységeket kihasználó támadásokat.
A támadási kampány mértéke és jellemzői
A GreyNoise rendszerei két jól elkülöníthető, de összefüggő támadási mintát azonosítottak. Az első a “Tomcat Manager Brute Force Attempt” címkét kapta, amely 250 egyedi IP-címet tartalmazott, amelyek rendszeres jelszószórásos támadásokat hajtottak végre. Ez jelentős emelkedést jelentett a szokásos napi 1-15 IP-címes támadásokhoz képest. Ezzel párhuzamosan a “Tomcat Manager Login Attempt” címkét 298 egyedi IP-címre alkalmazták, amelyek próbálták elérni a Tomcat adminisztrátori felületét. Az átlagos napi aktivitás 10-40 IP-cím körül mozgott, tehát ez is jelentős eltérés volt. A kampány során minden egyes brute force támadás mögött álló IP-cím malicious (rosszindulatú) besorolást kapott, míg a bejelentkezési próbálkozások 99,7%-a szintén rosszindulatúként lett azonosítva.
A támadó infrastruktúrája szoros kapcsolatban áll a DigitalOcean felhőszolgáltatóval, amelynek 14061-es autonóm rendszer számát (ASN) azonosították a támadások forrásaként. A felhőszolgáltatók könnyű hozzáférhetősége és a gyors erőforrás lehetősége valószínűsíti, hogy a támadók ezt a platformot választották az anonim műveletekhez. A támadó IP-címek földrajzi eloszlása több országra is kiterjedt, a támadások nagy része az Egyesült Államokból, az Egyesült Királyságból, Németországból, Hollandiából és Szingapúrból indult. Ezzel szemben a célzott rendszerek elsősorban az Egyesült Államokban, az Egyesült Királyságban, Spanyolországban, Németországban, Indiában és Brazíliában voltak találhatóak, ami a támadás globális mivoltát mutatja.
A Tomcat Manager alkalmazás és a védekezés lehetőségei
Az Apache Tomcat Manager alkalmazás egy webes adminisztrációs felület, amelyet a Tomcat szerverek és alkalmazások kezelésére használnak. Alapértelmezés szerint a Tomcat Manager a localhost hozzáférést korlátozza a RemoteAddrValve konfiguráció segítségével.
Bár a támadás nem kapcsolódik közvetlenül egy konkrét sérülékenység kihasználásához minden bizonnyal előkészíti a terepet a célzott kísérletekhez. Az Apache Tomcat alkalmazások védelme érdekében a következő lépéseket javasolják a szakértők:
- IP-alapú blokkolás alkalmazása a támadó IP-címekkel.
- A RemoteCIDRValve beállítása a kívánt hálózati tartományok korlátozásához.
- A Tomcat Manager hozzáférésének alapos felülvizsgálata, különösen internetes elérhetőség esetén.
A kampány egybeesik a CVE-2025-24813 azonosítójú sérülékenység kihasználásával, amelyet a GreyNoise már 2025 márciusa óta figyel. Az aktív sérülékenység kihasználása és a nagyszabású brute force kampányok együttese arra utal, hogy a fenyegetők fokozott érdeklődést mutatnak a Tomcat infrastruktúrák iránt, ezért azonnali védekezési intézkedések szükségesek.