Rilevamento CVE-2025-24813: Vulnerabilità RCE di Apache Tomcat Attivamente Sfruttata nel Wild
Indice:
Una nuova vulnerabilità rivelata RCE in Apache Tomcat è sotto attivo sfruttamento, appena 30 ore dopo la sua divulgazione pubblica e il rilascio di un PoC. Lo sfruttamento riuscito del CVE-2025-24813 dà agli avversari il via libera per eseguire codice da remoto sui sistemi presi di mira sfruttando una deserializzazione non sicura.
Rileva tentativi di sfruttamento di CVE-2025-24813
Con l’aumento rapido dei CVE armati, la rilevazione proattiva delle minacce è più critica che mai. All’inizio del 2025, il NIST NVD ha già documentato 10.451 nuove vulnerabilità di sicurezza, molte delle quali sono state attivamente sfruttate in attacchi reali. Con le minacce informatiche in continua evoluzione, i team di sicurezza di tutto il mondo devono concentrarsi su strategie di rilevazione precoce per anticipare i tentativi di sfruttamento e mitigare i rischi in modo efficace.
Affidati a SOC Prime Platform per la difesa informatica collettiva per ottenere contenuti di rilevamento curati su qualsiasi minaccia attiva, supportati da un’intera suite di prodotti per il rilevamento avanzato delle minacce e il hunting.
Possibile tentativo di sfruttamento di CVE-2025-24813 (Apache Tomcat RCE) (via webserver)
La rilevazione si basa sul PoC disponibile pubblicamente e aiuta a identificare possibili tentativi di sfruttamento di CVE-2025-24813, che possono essere effettuati da avversari al fine di guadagnare accesso iniziale all’applicazione vulnerabile. La regola è compatibile con 22 soluzioni SIEM, EDR e Data Lake e allineata con MITRE ATT&CK affrontando la tattica di Accesso Iniziale e la tecnica corrispondente Exploit Public-Facing Application (T1190).
Inoltre, i professionisti della sicurezza possono premere il pulsante Esplora Rilevamenti sotto per verificare l’aggiunta di nuove regole potenzialmente destinate a affrontare lo sfruttamento di Apache Tomcat RCE.
I difensori informatici che cercano contenuti più pertinenti per rilevare attacchi informatici che sfruttano vulnerabilità in tendenza possono accedere all’intero stack di rilevamento rilevante cercando nel Threat Detection Marketplace con il tag “CVE”.
Analisi di CVE-2025-24813
I difensori hanno scoperto una nuova vulnerabilità in Apache Tomcat. Questo difetto RCE critico tracciato come CVE-2025-24813, con un punteggio CVSS che raggiunge 9.8, è stato attivamente sfruttato in attacchi sul campo sin dal suo codice exploit PoC è stato pubblicamente rilasciato su GitHub. Permette agli hacker di ottenere il controllo dei server attraverso una richiesta API PUT, solitamente utilizzata per aggiornare risorse esistenti. RCE o esposizione dei dati possono verificarsi se il servlet predefinito consente scritture, il PUT parziale è abilitato, file sensibili vengono caricati in una sottodirectory pubblica di una posizione di caricamento pubblica e un attaccante conosce i nomi di quei file. Oltre alle condizioni sopra menzionate, il difetto può essere armato a condizione che l’applicazione utilizzi la persistenza delle sessioni basata su file di Tomcat con il percorso di archiviazione predefinito e includa una libreria vulnerabile agli attacchi di deserializzazione. Il problema di sicurezza impatta versioni software che vanno da 11.0.0-M1 a 11.0.2, 10.1.0-M1 a 10.1.34, e 9.0.0-M1 a 9.0.98.
I ricercatori di GreyNoise hanno osservato tentativi di sfruttamento da cinque distinti indirizzi IP, con la maggior parte degli attacchi che prendono di mira sistemi negli Stati Uniti, Giappone, India, Corea del Sud e Messico e oltre il 70% delle sessioni rivolto a sistemi con base negli Stati Uniti, il che aumenta il rischio di esposizione delle organizzazioni a tentativi di sfruttamento di CVE-2025-24813 se il software potenzialmente vulnerabile è in uso.
Come misure di mitigazione potenziali per CVE-2025-24813 per ridurre i rischi dei tentativi di sfruttamento, il fornitore raccomanda un aggiornamento immediato ad Apache Tomcat 11.0.3 o superiore, Apache Tomcat 10.1.35 o superiore, o Apache Tomcat 9.0.99 o superiore. Con l’espansione continua delle superfici di attacco e il crescente numero di attacchi informatici che sfruttano l’exploit di CVE, le organizzazioni globali stanno cercando di rafforzare le difese. SOC Prime cura una suite di prodotti completa per l’ingegneria di rilevamento AI potenziato, il hunting automatico delle minacce e il rilevamento avanzato delle minacce per fornire ai team di sicurezza tecnologie all’avanguardia contro le minacce emergenti, indipendentemente dalla loro scala e sofisticazione.
