פרצת אבטחה קריטית ב-Apache Tomcat

חוקרי אבטחה מזהירים כי פגיעות ביטול סידור בשרתי Apache Tomcat מנוצלת לרעה באופן טבעי כדי להשתלט לחלוטין על השרתים הפגועים.

Wallarm חשפה כי ראה משתמש פורום סיני, המכונה iSee857, שיתוף הוכחת היתכנות (PoC) עבור פגם שסומן כ-CVE-2025-24813, המזהיר שגורמי איום זקוקים רק לבקשת PUT API אחת כדי להשתלט על השרת הפגיע. הבקשה משמשת להעלאת הפעלת Java זדונית מסודרת, אשר לאחר מכן מאפשרת לתוקף להפעיל ביטול סידור על ידי התייחסות למזהה ההפעלה הזדוני בבקשת GET.

"Tomcat, הרואה את מזהה ההפעלה הזה, מאחזר את הקובץ המאוחסן, מבצע ביטול סידור שלו ומבצע את קוד ה-Java המוטמע, ומעניק גישה מרחוק מלאה לתוקף", הסביר Wallarm.

פשוט מאוד

החוקרים הוסיפו כי ההתקפה "פשוטה מאוד" לביצוע, ואינה דורשת אימות. הדרישה היחידה היא ש-Tomcat תשתמש באחסון סשנים מבוסס קבצים, שלדברי החוקרים, "נפוץ בפריסות רבות". יתר על כן, קידוד base64 פירושו שההתקפה תעקוף את רוב מסנני האבטחה המסורתיים.

רוב חומות האש של יישומי אינטרנט () "מפספסות לחלוטין" את ההתקפה הזו, הזהיר וולרם עוד, מכיוון שבקשת ה-PUT נראית תקינה, המטען מקודד ב-base64, ההתקפה היא דו-שלבית, כאשר הנזק מתרחש רק בשלב השני, ומכיוון שרוב ה-WAFs אינם בודקים לעומק קבצים שהועלו.

"משמעות הדבר היא שעד שארגון מזהה את הפריצה ביומני האחסון שלו, זה כבר מאוחר מדי."

החלק הגרוע ביותר, סיכם וולרם, הוא ש"זהו רק הגל הראשון", מכיוון שהוא מצפה שגורמי איום יתחילו להעלות קבצי JSP זדוניים, לשנות תצורות ולשתול דלתות אחוריות מחוץ לאחסון הפעלה.

עדיין לא הוקצה לו ציון חומרה, ולפי ה-NVD, הוא משפיע על Apache Tomcat מ-11.0.0-M1 עד 11.0.2, מ-10.1.0-M1 עד 10.1.34, ומ-… 9.0.0.M1 עד 9.0.98.

מומלץ למשתמשים לשדרג לגרסה 11.0.3, 10.1.35 או 9.0.98, אשר תתקן את הבעיה.