Уязвимость CVE-2025-24813: угроза серверам Apache Tomcat
Источник: www.greynoise.io
Злоумышленники активно используют недавно обнаруженную уязвимость в серверах Apache Tomcat, идентифицированную как CVE-2025-24813. Эта уязвимость позволяет выполнять удаленный код (RCE), создавая значительные риски для незащищенных систем.
Текущая угроза
Недавние наблюдения GreyNoise показывают, что с 17 марта 2025 года несколько IP-адресов подвергаются попыткам взлома, что указывает на тревожную тенденцию в области угроз. Чтобы помочь защитникам в отслеживании этой уязвимости, GreyNoise ввела специальный тег CVE-2025-24813.
Методы эксплуатации
Используемый метод эксплуатации включает в себя метод частичной загрузки, с помощью которого злоумышленники могут внедрять вредоносные программы. Такие эксплойты потенциально могут привести к выполнению произвольного кода на уязвимых серверах, что повышает актуальность устранения этой уязвимости для организаций.
География атак
География этих атак охватывает несколько стран, причем большинство попыток были направлены против систем в:
- США
- Японии
- Индии
- Южной Корее
- Мексике
Примечательно, что более 70% наблюдаемых сеансов были направлены на системы, базирующиеся в США, что подчеркивает важность США в качестве мишени.
Первая фиксация и дальнейшие наблюдения
Первая зафиксированная попытка взлома была предпринята с IP-адреса, расположенного в Латвии, 18 марта, за ней последовали дополнительные попытки 19 марта с IP-адресов, отслеживаемых в Италии, США и Китае. Интересно, что IP-адрес из Латвии больше не проявлял активности после первой попытки, а латвийские и итальянские IP-адреса связаны с известным VPN-сервисом, что позволяет предположить потенциальную маскировку личности злоумышленника. Последующие наблюдения выявили продолжающиеся попытки взлома, исходящие с IP-адреса, расположенного в США.
Рекомендации для организаций
Важно отметить, что IP-адреса из США и Китая обладают характеристиками, которые указывают на то, что их нелегко подделать, а это означает, что злоумышленники могут использовать подлинную инфраструктуру для своих операций. Учитывая широкое внедрение Apache Tomcat в различных приложениях и службах в различных отраслях промышленности, первые признаки эксплуатации, связанные с CVE-2025-24813, вызывают беспокойство. Ожидается, что такая активность может усилиться.
Организациям, использующим Apache Tomcat, следует заранее оценить свою инфраструктуру на наличие уязвимостей, связанных с этим CVE, и обеспечить оперативное исправление для снижения рисков, связанных с этими попытками активного использования.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
