مورد بهره‌برداری قرار گرفتن آسیب‌پذیری تامکت آپاچی تنها ۳۰ ساعت پس از افشای عمومی

یک نقص امنیتی اخیراً فاش شده که بر آپاچی تامکت تأثیر می‌گذارد، پس از انتشار[۱] یک اثبات ادعا (PoC) تنها ۳۰ ساعت پس از افشای عمومی، مورد بهره‌برداری فعال در سطح اینترنت قرار گرفت.

این آسیب‌پذیری که به‌عنوان CVE-2025-24813 ردیابی می‌شود[۲]، نسخه‌های زیر را تحت تأثیر قرار می‌دهد:

• Apache Tomcat 11.0.0-M1 to 11.0.2
• Apache Tomcat 10.1.0-M1 to 10.1.34
• Apache Tomcat 9.0.0-M1 to 9.0.98

این مربوط به یک مورداجرای کد از راه دور یا افشای اطلاعات در صورت رعایت شرایط خاص است.

• نوشتن برای سرور پیش‌فرض فعال است (به‌طور پیش‌فرض غیرفعال است)
• پشتیبانی از PUT جزئی (به‌طور پیش‌فرض فعال است)
• یک URL هدف برای آپلودهای حساس امنیتی که زیرمجموعه یک URL هدف برای آپلودهای عمومی است.
• اطلاعات مهاجم از نام فایل‌های حساس امنیتی در حال آپلود
• فایل‌های حساس امنیتی نیز از طریق PUT جزئی بارگذاری می‌شوند

بهره‌برداری موفقیت‌آمیز می‌تواند به کاربر مخرب اجازه دهد تا فایل‌های حساس امنیتی را مشاهده کند یا محتوای دلخواه را با استفاده از یک درخواست PUT به آن فایل‌ها تزریق کند.

علاوه بر این، اگر همه شرایط زیر درست باشد، یک مهاجم می‌تواند به اجرای کد از راه دور دست یابد.

• نوشتن برای سرور پیش‌فرض فعال است (به‌طور پیش‌فرض غیرفعال است)
• پشتیبانی از PUT جزئی (به‌طور پیش‌فرض فعال است)
• برنامه از ماندگاری جلسه مبتنی بر فایل Tomcat با مکان ذخیره‌سازی پیش‌فرض استفاده می‌کرد.
• برنامه شامل کتابخانه‌ای است که ممکن است در یک حمله deserialization مورداستفاده قرار گیرد.

در گزارشی که هفته گذشته منتشر شد، نگهبانان پروژه گفتند[۳] که این آسیب‌پذیری در نسخه‌های Tomcat 9.0.99، ۱۰٫۱٫۳۵ و ۱۱٫۰٫۳ برطرف شده است.

اما در یک پیچ‌وتاب نگران‌کننده، این آسیب‌پذیری در حال حاضر شاهد تلاش‌های استثماری در سطح اینترنت است.

این شرکت گفت[۴]: «این حمله از مکانیزم پیش‌فرض تداوم جلسه آپاچی تامکت و پشتیبانی آن از درخواست‌های PUT جزئی بهره می‌برد.»

این بهره‌بردار در دو مرحله کار می‌کند: مهاجم یک فایل جلسه جاوا را از طریق درخواست PUT بارگذاری می‌کند. مهاجم با ارجاع به شناسه جلسه مخرب در یک درخواست GET، سریال‌زدایی را آغاز می‌کند.

به‌عبارت‌دیگر، این حملات مستلزم ارسال یک درخواست PUT حاوی یک بار سریالی کدگذاری شده با Base64 است که در فهرست ذخیره‌سازی جلسه Tomcat نوشته شده است، که متعاقباً در طول سریال‌زدایی با ارسال یک درخواست GET با JSESSIONID که به جلسه مخرب اشاره می‌کند، اجرا می‌شود.

Wallarm همچنین خاطرنشان کرد که این آسیب‌پذیری برای بهره‌برداری ساده است و نیازی به احراز هویت ندارد. تنها پیش‌نیاز این است که آپاچی از ذخیره‌سازی جلسه مبتنی بر فایل استفاده کند.

وی افزود: «درحالی‌که این بهره‌بردار از فضای ذخیره‌سازی جلسه سوءاستفاده می‌کند، مشکل بزرگ‌تر مدیریت جزئی PUT در تامکت است که امکان آپلود عملاً هر فایلی را در هر کجا فراهم می‌کند. مهاجمان به‌زودی شروع به تغییر تاکتیک‌های خود، آپلود فایل‌های مخرب JSP، اصلاح پیکربندی‌ها و کاشت درب‌های پشتی خارج از فضای ذخیره‌سازی جلسه خواهند کرد.»

به کاربرانی که نسخه‌های آسیب‌دیده Tomcat را اجرا می‌کنند توصیه می‌شود برای کاهش تهدیدات احتمالی، نمونه‌های خود را در اسرع وقت به‌روزرسانی کنند.

منابع

[۱] https://github.com/iSee857/CVE-2025-24813-PoC

[۲] https://tomcat.apache.org/security-11.html

[۳] https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq

[۴] https://lab.wallarm.com/one-put-request-to-own-tomcat-cve-2025-24813-rce-is-in-the-wild/

[۵] https://thehackernews.com/2025/03/apache-tomcat-vulnerability-comes-under.html