Detección de CVE-2025-24813: Vulnerabilidad de RCE en Apache Tomcat Activamente Explotada en el Entorno
Tabla de contenidos:
Una vulnerabilidad recientemente revelada RCE en Apache Tomcat está siendo explotada activamente, apenas 30 horas después de su divulgación pública y la liberación de un PoC. La explotación exitosa de CVE-2025-24813 permite a los adversarios ejecutar código remotamente en sistemas objetivos al aprovechar la deserialización insegura.
Detectar Intentos de Explotación de CVE-2025-24813
Con el fuerte aumento de CVEs armados, la detección proactiva de amenazas es más crítica que nunca. Al comenzar 2025, el NIST NVD ya ha documentado 10,451 nuevas vulnerabilidades de seguridad, muchas de las cuales han sido explotadas activamente en ataques reales. Con las amenazas cibernéticas evolucionando constantemente, los equipos de seguridad de todo el mundo deben centrarse en estrategias de detección temprana para adelantarse a los intentos de explotación y mitigar los riesgos eficazmente.
Confía en SOC Prime Platform para la defensa cibernética colectiva y obtener contenido de detección curado sobre cualquier amenaza activa, respaldado por un conjunto completo de productos para la detección avanzada de amenazas y caza.
Posible Intento de Explotación de CVE-2025-24813 (Apache Tomcat RCE) (a través de servidor web)
La detección se basa en el PoC disponible públicamente y ayuda a identificar posibles intentos de explotación de CVE-2025-24813, lo cual puede ser realizado por adversarios para obtener acceso inicial a la aplicación vulnerable. La regla es compatible con 22 soluciones de SIEM, EDR y Data Lake, y está alineada con MITRE ATT&CK abordando la táctica de Acceso Inicial y la técnica correspondiente de Explotar Aplicaciones Expuestas al Público (T1190).
Además, los profesionales de seguridad podrían presionar el Explorar Detecciones botón a continuación para verificar nuevas reglas que podrían ser agregadas para abordar la explotación de Apache Tomcat RCE.
Los defensores cibernéticos que buscan más contenido relevante para detectar ciberataques que aprovechan vulnerabilidades de tendencia pueden acceder a todo el conjunto de detección relevante buscando en Threat Detection Marketplace con el tag “CVE”.
Análisis de CVE-2025-24813
Los defensores han descubierto una nueva vulnerabilidad en Apache Tomcat. Esta falla crítica de RCE rastreada como CVE-2025-24813, con un puntaje de CVSS alcanzando 9.8, ha sido explotada activamente en ataques in-the-wild desde que su código de explotación PoC fue liberado públicamente en GitHub. Permite a los hackers tomar control de los servidores a través de una solicitud PUT API, que generalmente se utiliza para actualizar recursos existentes. RCE o exposición de datos puede ocurrir si el servlet predeterminado permite escrituras, está habilitado el PUT parcial, se suben archivos sensibles a un subdirectorio público de una ubicación pública de carga, y un atacante conoce esos nombres de archivo. Además de las condiciones mencionadas anteriormente, la falla puede ser armada siempre que la aplicación utilice la persistencia de sesiones basada en archivos de Tomcat con la ubicación de almacenamiento predeterminada e incluya una biblioteca vulnerable a ataques de deserialización. El problema de seguridad afecta versiones de software que van desde 11.0.0-M1 a 11.0.2, 10.1.0-M1 a 10.1.34, y 9.0.0-M1 a 9.0.98.
Investigadores de GreyNoise han observado intentos de explotación desde cinco direcciones IP distintas, con la mayoría de los ataques dirigidos a sistemas en EE.UU., Japón, India, Corea del Sur y México y más del 70% de las sesiones dirigidas a sistemas basados en EE.UU., lo cual aumenta los riesgos de exposición de organizaciones a intentos de explotación de CVE-2025-24813 si se utiliza el software potencialmente vulnerable.
Como posibles medidas de mitigación de CVE-2025-24813 para reducir los riesgos de intentos de explotación, el proveedor recomienda actualizar inmediatamente a Apache Tomcat 11.0.3 o superior, Apache Tomcat 10.1.35 o superior, o Apache Tomcat 9.0.99 o superior. Con la superficie de ataque en constante expansión y el número creciente de ciberataques que aprovechan la explotación de CVE, las organizaciones globales se esfuerzan por fortalecer las defensas. SOC Prime cura un conjunto completo de productos para la ingeniería de detección impulsada por IA, caza automatizada de amenazas y detección avanzada de amenazas para proporcionar a los equipos de seguridad tecnologías de vanguardia contra amenazas emergentes sin importar su escala y sofisticación.
