CVE-2025-24813 Erkennung: Apache Tomcat RCE-Schwachstelle wird aktiv in freier Wildbahn ausgenutzt
Inhaltsverzeichnis:
Eine neu aufgedeckte RCE Schwachstelle in Apache Tomcat wird aktiv ausgenutzt, nur 30 Stunden nach ihrer öffentlichen Bekanntgabe und der Veröffentlichung eines PoC. Die erfolgreiche Ausnutzung von CVE-2025-24813 gibt Angreifern grünes Licht, Code auf Zielsystemen aus der Ferne auszuführen, indem unsichere Deserialisierung ausgenutzt wird.
Erkennung von CVE-2025-24813-Ausnutzungsversuchen
Mit dem starken Anstieg an bewaffneten CVEs ist proaktive Bedrohungserkennung wichtiger denn je. Da 2025 beginnt, hat die NIST NVD bereits 10.451 neue Sicherheitslücken dokumentiert, von denen viele in realen Angriffen aktiv ausgenutzt wurden. Da sich Cyberbedrohungen ständig weiterentwickeln, müssen Sicherheitsteams weltweit den Fokus auf Frühwarnstrategien legen, um Ausnutzungsversuche zu übertreffen und Risiken effektiv zu mindern.
Verlassen Sie sich auf die SOC Prime Plattform für kollektive Cyberabwehr, um kuratierte Erkennungsinhalte zu jeder aktiven Bedrohung zu erhalten, unterstützt durch eine umfassende Produktsuite für fortschrittliche Bedrohungserkennung und Jagd.
Möglicher CVE-2025-24813 (Apache Tomcat RCE) Ausnutzungsversuch (via Webserver)
Die Erkennung basiert auf dem öffentlich verfügbaren PoC und hilft, mögliche CVE-2025-24813-Ausnutzungsversuche zu identifizieren, die von Angreifern unternommen werden können, um anfänglichen Zugang zur anfälligen Anwendung zu erlangen. Die Regel ist kompatibel mit 22 SIEM-, EDR- und Data-Lake-Lösungen und abgestimmt auf MITRE ATT&CK, das die Taktik Initial Access und die entsprechende Technik Exploit Public-Facing Application (T1190) anspricht.
Außerdem könnten Sicherheitsexperten die Entdeckungen erkunden Schaltfläche unten drücken, um nach neuen Regeln zu suchen, die möglicherweise hinzugefügt werden, um Apache Tomcat RCE-Ausbeutung anzusprechen.
Cyberverteidiger, die nach aussagekräftigeren Inhalten suchen, um Cyberangriffe zu erkennen, die Trend-Schwachstellen ausnutzen, könnten auf den gesamten relevanten Erkennungsstapel zugreifen, indem sie den Threat Detection Marketplace mit dem Tag „CVE“ durchsuchen.
CVE-2025-24813 Analyse
Verteidiger haben eine neue Schwachstelle in Apache Tomcat entdeckt. Diese kritische RCE-Schwachstelle, die als CVE-2025-24813verfolgt wird, hat einen CVSS-Wert von 9.8 erreicht und wird seit ihrer PoC-Exploit-Code auf GitHub veröffentlicht wurde, aktiv in realen Angriffen ausgenutzt. Sie ermöglicht es Hackern, die Kontrolle über Server durch eine PUT-API-Anfrage zu erlangen, die typischerweise verwendet wird, um bestehende Ressourcen zu aktualisieren. RCE oder Datenexposition kann auftreten, wenn das Standardservlet Schreibvorgänge erlaubt, Partials PUT aktiviert ist, sensible Dateien in ein öffentliches Unterverzeichnis eines öffentlichen Upload-Standorts hochgeladen werden und ein Angreifer diese Dateinamen kennt. Zusätzlich zu den oben genannten Bedingungen kann die Schwachstelle bewaffnet werden, vorausgesetzt, dass die Anwendung Tomcats dateibasierte Sitzungspersistenz mit dem Standardspeicherort nutzte und eine Bibliothek enthielt, die anfällig für Deserialisierungsangriffe ist. Das Sicherheitsproblem betrifft Softwareversionen von 11.0.0-M1 bis 11.0.2, 10.1.0-M1 bis 10.1.34 und 9.0.0-M1 bis 9.0.98.
GreyNoise-Forscher haben Ausnutzungsversuche von fünf verschiedenen IP-Adressen beobachtet, wobei die meisten Angriffe auf Systeme in den USA, Japan, Indien, Südkorea und Mexiko abzielen und über 70 % der Sitzungen auf Systeme in den USA abzielen, was das Risiko der Exposition von Organisationen gegenüber CVE-2025-24813-Ausnutzungsversuchen erhöht, wenn die potenziell anfällige Software verwendet wird.
Als mögliche CVE-2025-24813-Minderungsmaßnahmen zur Verringerung der Risiken von Ausnutzungsversuchen empfiehlt der Anbieter ein sofortiges Update auf Apache Tomcat 11.0.3 oder höher, Apache Tomcat 10.1.35 oder höher oder Apache Tomcat 9.0.99 oder höher. Mit den sich ständig erweiternden Angriffsflächen und der eskalierenden Zahl von Cyberangriffen, die CVE-Schwachstellen ausnutzen, bemühen sich globale Organisationen, ihre Abwehr zu stärken. SOC Prime kuratiert eine umfassende Produktsuite für KI-gestützte Erkennungsentwicklung, automatisierte Bedrohungsjagd und fortschrittliche Bedrohungserkennung, um Sicherheitsteams modernste Technologien gegen aufkommende Bedrohungen zu bieten, unabhängig von deren Umfang und Komplexität.
