Эксплойт для критической уязвимости CVE-2025-24813 в Apache Tomcat уже используется хакерами. Для захвата сервера злоумышленникам достаточно одной PUT API-запроса.
Организациям необходимо переходить от реактивной защиты к проактивной безопасности API, чтобы предотвращать атаки до их реализации.
Источник
Как работает атака
Эксплуатация уязвимости включает два шага:- Загрузка вредоносного сеансового файла. Атакующий отправляет PUT-запрос с сериализованным Java-объектом в формате base64, который сохраняется в хранилище сессий Tomcat.
- Исполнение кода через Cookie. GET-запрос с JSESSIONID, указывающим на загруженный файл, инициирует десериализацию, что приводит к удаленному выполнению кода.
Почему это опасно
Атака не требует аутентификации и легко проходит мимо традиционных WAF-защит, поскольку:- PUT-запрос выглядит безобидно,
- нагрузка зашифрована в base64,
- атака выполняется в два этапа, усложняя обнаружение.
Защита в реальном времени
Компания Wallarm зафиксировала первую атаку 12 марта, до появления эксплойта в открытом доступе. Их система безопасности обнаруживает угрозу, анализируя base64-код, отслеживая многослойные атаки и блокируя вредоносные API-запросы в реальном времени.Что дальше
Проблема связана с обработкой частичных PUT-запросов, что позволяет загружать любые файлы. В будущем злоумышленники могут использовать уязвимость для размещения JSP-бэкдоров и модификации конфигураций.Организациям необходимо переходить от реактивной защиты к проактивной безопасности API, чтобы предотвращать атаки до их реализации.
Источник
