В марте 2025 года Apache Software Foundation раскрыла серию серьёзных уязвимостей, затрагивающих популярные проекты Apache Tomcat и Apache Camel. В центре внимания оказались CVE-2025-24813, CVE-2025-27636 и CVE-2025-29891 — дефекты, которые открывают злоумышленникам возможность удалённого выполнения произвольного кода.
Уязвимость CVE-2025-24813 в Apache Tomcat
Самая опасная из выявленных уязвимостей, CVE-2025-24813, связана с обработкой сериализованных данных сеансов в Apache Tomcat. В частности, проблема заключается в функции сохранения сеанса, допустившей возможность записи вредоносных сериализованных файлов на диск.
Уязвимые версии Apache Tomcat охватывают следующие диапазоны:
- от 9.0.0.M1 до 9.0.98;
- от 10.1.0-M1 до 10.1.34;
- от 11.0.0-M1 до 11.0.2.
Механизм эксплуатации достигается с помощью HTTP-запроса PUT, в котором злоумышленник размещает сериализованный вредоносный код. Этот код кэшируется уязвимым экземпляром Tomcat и сохраняется под именем файла .session. Затем атакующий отправляет HTTP-запрос GET с поддельным cookie JSESSIONID, инициирующим десериализацию сохранённого вредоносного файла — в результате происходит выполнение произвольного кода.
Особое внимание следует уделить роли HTTP-заголовка Content-Range, играющему ключевую роль в управлении процессом сериализации и десериализации.
Уязвимости в Apache Camel
Наряду с Tomcat, уязвимости были обнаружены и в Apache Camel — фреймворке для интеграции и маршрутизации сообщений. Проблемы обнаружены в версиях с 3.10.0 по 3.22.3 и связаны с обработкой заголовков сообщений, которые злоумышленник может манипулировать для выполнения произвольного кода.
Таким образом, обе платформы подвержены рискам удалённого выполнения команд, что представляет серьёзную угрозу для безопасности систем на их основе.
Активность атак и рекомендаций для организаций
После официального раскрытия уязвимостей резко возросло число попыток сканирования и эксплуатации, достигшее по миру отметки более 125 000. Исследования экспертов подтвердили факты активной эксплуатации уязвимостей в реальных атаках.
Palo Alto Networks зафиксировала значительное количество заблокированных попыток использования эксплойтов, связанных с этими дефектами. Эти данные свидетельствуют о широком распространении и настойчивости злоумышленников.
В частности, сообщения указывают на использование инструмента Nuclears Scanner, который существенно облегчает хакерам обнаружение уязвимых экземпляров Apache Tomcat и Apache Camel. Это увеличивает риски для организаций, эксплуатирующих уязвимые версии.
Практические рекомендации для организаций
- Немедленно обновить Apache Tomcat и Apache Camel до последних, не уязвимых версий;
- Внедрить мониторинг сетевой активности и внимательно отслеживать подозрительные HTTP-запросы;
- Регулярно проверять наличие исправлений безопасности и обеспечивать их своевременное применение;
- Использовать системы предотвращения вторжений (IPS) и другие инструменты защиты для выявления и блокировки попыток эксплуатации;
- Повысить уровень осведомлённости сотрудников о характере современных угроз и необходимой реакции на инциденты.
В условиях быстро меняющегося ландшафта киберугроз своевременные меры по устранению уязвимостей критически важны для сохранения безопасности IT-инфраструктуры.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Критические уязвимости Apache Tomcat и Camel: анализ CVE-2025-24813 и др.".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.