Detecção CVE-2025-24813: Vulnerabilidade RCE no Apache Tomcat Ativamente Explorada

[post-views]
Março 21, 2025 · 4 min de leitura
Detecção CVE-2025-24813: Vulnerabilidade RCE no Apache Tomcat Ativamente Explorada

Uma nova vulnerabilidade revelada RCE no Apache Tomcat está sendo explorada ativamente, apenas 30 horas após sua divulgação pública e o lançamento de um PoC. A exploração bem-sucedida do CVE-2025-24813 dá aos adversários o sinal verde para executar código remotamente em sistemas alvo aproveitando a desserialização insegura.

Detectar Tentativas de Exploração do CVE-2025-24813

Com o aumento acentuado de CVEs armados, a detecção proativa de ameaças é mais crítica do que nunca. À medida que 2025 começa, o NIST NVD já documentou 10.451 novas vulnerabilidades de segurança, muitas das quais foram ativamente exploradas em ataques reais. Com as ameaças cibernéticas em constante evolução, as equipes de segurança em todo o mundo devem se concentrar em estratégias de detecção precoce para superar as tentativas de exploração e mitigar riscos de forma eficaz.

Confie na Plataforma SOC Prime para defesa cibernética coletiva, para obter conteúdo de detecção curado sobre qualquer ameaça ativa, apoiado por um conjunto completo de produtos para detecção avançada de ameaças e caça. 

Possível Tentativa de Exploração do CVE-2025-24813 (Apache Tomcat RCE) (via servidor web)

A detecção é baseada no PoC disponível publicamente e ajuda a identificar possíveis tentativas de exploração do CVE-2025-24813, que podem ser realizadas por adversários para obter acesso inicial à aplicação vulnerável. A regra é compatível com 22 soluções SIEM, EDR e Data Lake e alinhada com o MITRE ATT&CK abordando a tática de Acesso Inicial e a técnica correspondente de Exploração de Aplicações com Interface Pública (T1190).

Além disso, os profissionais de segurança podem pressionar o botão Explorar Detecções abaixo para verificar novas regras que estão sendo potencialmente adicionadas para abordar a exploração de RCE do Apache Tomcat.

Explorar Detecções

Defensores cibernéticos que buscam conteúdo mais relevante para detectar ataques cibernéticos que usam vulnerabilidades em tendência podem acessar todo o stack de detecção relevante pesquisando no Mercado de Detecção de Ameaças com a tag “CVE”.

Análise do CVE-2025-24813

Os defensores descobriram uma nova vulnerabilidade no Apache Tomcat. Esta falha crítica de RCE rastreada como CVE-2025-24813, com uma pontuação CVSS chegando a 9.8, tem sido explorada ativamente em ataques reais desde que seu código de exploit PoC foi publicado publicamente no GitHub. Ele permite que hackers ganhem controle de servidores através de uma solicitação PUT API, que é normalmente usada para atualizar recursos existentes. RCE ou exposição de dados pode ocorrer se o servlet padrão permitir gravações, PUT parcial estiver habilitado, arquivos sensíveis forem carregados em um subdiretório público de um local de upload público, e um atacante souber esses nomes de arquivos. Além das condições acima mencionadas, a falha pode ser armada desde que a aplicação utilize a persistência de sessão baseada em arquivos do Tomcat com o local de armazenamento padrão e inclua uma biblioteca vulnerável a ataques de desserialização. A questão de segurança afeta versões de software que variam de 11.0.0-M1 a 11.0.2, 10.1.0-M1 a 10.1.34, e 9.0.0-M1 a 9.0.98.

Pesquisadores da GreyNoise observaram tentativas de exploração de cinco endereços IP distintos, com a maioria dos ataques tendo como alvo sistemas nos EUA, Japão, Índia, Coreia do Sul e México e mais de 70% das sessões direcionadas a sistemas baseados nos EUA, o que aumenta os riscos de exposição das organizações a tentativas de exploração do CVE-2025-24813 se o software potencialmente vulnerável estiver em uso. 

Como medidas potenciais de mitigação do CVE-2025-24813 para reduzir os riscos de tentativas de exploração, o fornecedor recomenda atualizar imediatamente para o Apache Tomcat 11.0.3 ou superior, Apache Tomcat 10.1.35 ou superior, ou Apache Tomcat 9.0.99 ou superior. Com as superfícies de ataque em constante expansão e o número crescente de ataques cibernéticos que usam exploração de CVEs, organizações globais estão se esforçando para reforçar suas defesas. A SOC Prime cria um conjunto completo de produtos para engenharia de detecção com IA, caça automatizada de ameaças e detecção avançada de ameaças para fornecer às equipes de segurança tecnologias de ponta contra ameaças emergentes, independentemente de sua escala e sofisticação. 

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

CVE-2025-49144 Vulnerabilidade: Falha Crítica de Escalonamento de Privilégios no Notepad++ Leva à Tomada Completa do Sistema
Ameaças Mais Recentes, Blog — 7 min de leitura
CVE-2025-49144 Vulnerabilidade: Falha Crítica de Escalonamento de Privilégios no Notepad++ Leva à Tomada Completa do Sistema
Veronika Telychko
Exploração de Vulnerabilidades CVE-2025-6018 e CVE-2025-6019: Cadeia de Falhas de Escalada de Privilégio Local Permite que Atacantes Ganhem Acesso Root na Maioria das Distribuições Linux
Ameaças Mais Recentes, Blog — 6 min de leitura
Exploração de Vulnerabilidades CVE-2025-6018 e CVE-2025-6019: Cadeia de Falhas de Escalada de Privilégio Local Permite que Atacantes Ganhem Acesso Root na Maioria das Distribuições Linux
Veronika Telychko
Vulnerabilidade CVE-2025-4123: “O Fantasma do Grafana” Zero-Day Facilita o Sequestro Malicioso de Contas
Ameaças Mais Recentes, Blog — 6 min de leitura
Vulnerabilidade CVE-2025-4123: “O Fantasma do Grafana” Zero-Day Facilita o Sequestro Malicioso de Contas
Veronika Telychko