Опасная уязвимость безопасности в Apache Tomcat может позволить хакерам легко получить доступ к серверам

Компания Wallarm обнаружила Proof of Concept (PoC) этой уязвимости в дикой природе. Метод злоупотребляет уязвимостью десериализации в Apache Tomcat, что позволяет злоумышленникам полностью взять под контроль уязвимые конечные точки.

Исследователи безопасности Wallarm сообщили, что наблюдали пользователя китайского форума с псевдонимом iSee857, поделившегося PoC для уязвимости, отслеживаемой как CVE-2025-24813. В предупреждении говорится, что злоумышленникам требуется только один запрос PUT API для захвата уязвимого сервера. Запрос используется для загрузки вредоносной сериализованной сессии Java, которая затем позволяет злоумышленнику инициировать десериализацию, ссылаясь на ID вредоносной сессии в запросе GET.

«Tomcat, увидев этот ID сеанса, извлекает сохраненный файл, десериализует его и выполняет встроенный Java-код, предоставляя злоумышленнику полный удаленный доступ», — объяснили в Wallarm.

Исследователи добавили, что атака «невероятно проста» в исполнении и не требует аутентификации. Единственное требование — это использование Tomcat файлового хранения сеансов, который, по словам исследователей, «распространен во многих развертываниях». Кроме того, кодирование base64 означает, что атака пройдет мимо большинства традиционных фильтров безопасности.

Большинство межсетевых экранов веб-приложений (WAF), как далее предупредила Wallarm, «полностью пропускают» эту атаку, поскольку запрос PUT выглядит нормально, полезная нагрузка закодирована в base64, атака двухэтапная, где вред происходит только на втором этапе, и потому что большинство WAF не глубоко проверяют загруженные файлы.

«Это означает, что к тому времени, как организация обнаружит нарушение в своих журналах, уже будет слишком поздно».

Худшее, заключила Wallarm, это то, что «это всего лишь первая волна», поскольку она ожидает, что злоумышленники начнут загружать вредоносные файлы JSP, изменять конфигурации и внедрять бэкдоры за пределами хранения сеансов.

Уязвимость пока не получила оценку серьезности, а согласно NVD, она затрагивает Apache Tomcat от 11.0.0-M1 до 11.0.2, от 10.1.0-M1 до 10.1.34 и от 9.0.0.M1 до 9.0.98. Пользователям рекомендуется обновить версию до 11.0.3, 10.1.35 или 9.0.98, которые исправляют эту проблему.