Détection de CVE-2025-24813 : Vulnérabilité RCE Apache Tomcat Exploitée Activement dans la Nature
Table des matières :
Une vulnérabilité récemment révélée RCE dans Apache Tomcat est activement exploitée, seulement 30 heures après sa divulgation publique et la publication d’un PoC. L’exploitation réussie de CVE-2025-24813 donne aux adversaires le feu vert pour exécuter du code à distance sur des systèmes ciblés en tirant parti d’une désérialisation non sécurisée.
Détecter les tentatives d’exploitation de CVE-2025-24813
Avec l’augmentation rapide des CVE exploités, la détection proactive des menaces est plus critique que jamais. Alors que 2025 commence, le NIST NVD a déjà documenté 10 451 nouvelles vulnérabilités de sécurité, dont beaucoup ont été activement exploitées dans des attaques réelles. Avec les cybermenaces en constante évolution, les équipes de sécurité du monde entier doivent se concentrer sur des stratégies de détection précoce pour surpasser les tentatives d’exploitation et atténuer les risques efficacement.
Fiez-vous à la plateforme SOC Prime pour une défense cybernétique collective afin d’obtenir un contenu de détection sur toute menace active, soutenu par une suite complète de produits pour la détection avancée des menaces et la chasse.
Tentative d’exploitation possible de CVE-2025-24813 (Apache Tomcat RCE) (via serveur web)
La détection est basée sur le PoC disponible publiquement et aide à identifier les potentielles tentatives d’exploitation de CVE-2025-24813, qui peuvent être réalisées par des adversaires pour obtenir un accès initial à l’application vulnérable. La règle est compatible avec 22 solutions SIEM, EDR et Data Lake et alignée avec MITRE ATT&CK adressant la tactique d’accès initial et la technique Exploiter une application exposée (T1190).
De plus, les professionnels de la sécurité pourraient appuyer sur le Explorer les détections bouton ci-dessous pour vérifier les nouvelles règles potentiellement ajoutées pour traiter l’exploitation d’Apache Tomcat RCE.
Les défenseurs cybernétiques cherchant un contenu plus pertinent pour détecter les cyberattaques exploitant les vulnérabilités à la mode pourraient accéder à l’ensemble de la pile de détection pertinente en recherchant sur le marché de détection des menaces avec le tag « CVE ».
Analyse de CVE-2025-24813
Les défenseurs ont découvert une nouvelle vulnérabilité dans Apache Tomcat. Ce défaut critique RCE suivi sous CVE-2025-24813, avec un score CVSS atteignant 9,8, a été activement exploité dans des attaques dans la nature depuis que son code exploit PoC a été publié publiquement sur GitHub. Il permet aux hackers de prendre le contrôle des serveurs via une requête API PUT, qui est généralement utilisée pour mettre à jour des ressources existantes. Des exécutions de code à distance (RCE) ou des expositions de données peuvent survenir si le servlet par défaut autorise les écritures, le PUT partiel est activé, des fichiers sensibles sont téléchargés dans un sous-répertoire public d’un emplacement de téléchargement public et qu’un attaquant connaît ces noms de fichiers. En plus des conditions susmentionnées, la faille peut être utilisée à des fins malveillantes à condition que l’application ait utilisé la persistance de session basée sur des fichiers de Tomcat avec l’emplacement de stockage par défaut et ait inclus une bibliothèque vulnérable aux attaques de désérialisation. Le problème de sécurité affecte les versions du logiciel allant de 11.0.0-M1 à 11.0.2, de 10.1.0-M1 à 10.1.34, et de 9.0.0-M1 à 9.0.98.
Les chercheurs de GreyNoise ont observé des tentatives d’exploitation provenant de cinq adresses IP distinctes, avec la plupart des attaques visant des systèmes aux États-Unis, au Japon, en Inde, en Corée du Sud et au Mexique, et plus de 70 % des sessions ciblant des systèmes basés aux États-Unis, ce qui augmente le risque d’exposition des organisations aux tentatives d’exploitation de CVE-2025-24813 si le logiciel potentiellement vulnérable est utilisé.
Comme mesures potentielles de mitigation de CVE-2025-24813 pour réduire les risques de tentatives d’exploitation, le fournisseur recommande de mettre à jour immédiatement vers Apache Tomcat 11.0.3 ou supérieur, Apache Tomcat 10.1.35 ou supérieur, ou Apache Tomcat 9.0.99 ou supérieur. Avec les surfaces d’attaque en expansion permanente et le nombre croissant d’attaques cybernétiques tirant parti de l’exploitation des CVE, les organisations mondiales s’efforcent de renforcer leurs défenses. SOC Prime propose une suite complète de produits pour l’ingénierie de détection alimentée par IA, la chasse automatisée aux menaces et la détection avancée des menaces afin de fournir aux équipes de sécurité des technologies de pointe contre les menaces émergentes quelle que soit leur ampleur et leur sophistication.
