Nog geen week na de bekendmaking van een kwetsbaarheid in Apache Tomcat, is die al actief uitgebuit.
De recent ontdekte kwetsbaarheid in Apache Tomcat maakte het mogelijk om code op afstand uit te voeren en om toegang te krijgen tot gevoelige bestanden en malware te installeren. De CVE-2025-24813 werd op 10 maart onthuld. Volgens beveiligingsbedrijf Wallarm werd er 30 uur daarna al een exploit verspreid waardoor deze “actief wordt uitgebuit”.
Vier voorwaarden
Er is geen authenticatie vereist voor de aanval en daarom kunnen criminelen makkelijk code uitvoeren op de Tomcat-server. In het advies van Wallarm staat te lezen dat het uitbuiten gebeurt door opslag. “Via een PUT-verzoek, waarbij de aanvaller een kwaadaardig sessiebestand op de server zet en versleuteld, kan hij daarna het bestand ontgrendelen en krijgt hij volledige toegang tot de server.”
Apache zelf markeert de fout als “belangrijk”. Het bedrijf wijst er ook op dat de uitbuiting slechts gedaan kan worden als er aan vier voorwaarden wordt voldaan. “Twee standaardinstellingen in Tomcat moeten aan staan: Schrijfbewerkingen naar de standaard servlet en ondersteuning voor gedeeltelijke PUT-uploads. Daarnaast moet een standaard opslaglocatie gekozen zijn voor Tomcat’s bestanden en een kwetsbare bibliotheek.”
Het lek is aanwezig in Apache Tomcat-versies 11.0.0-M1 tot en met 11.0.2, van 10.1.0-M1 tot en met 10.1.34 en van 9.0.0.M1 tot en met 9.0.98. Een voorlopige oplossing is om Tomcat in de ‘alleen lezen’-modus te draaien.
lees ook