Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Vulnerabilidad crítica en Apache Tomcat: CVE-2025-24813
Noticias

Vulnerabilidad crítica en Apache Tomcat: CVE-2025-24813

por Dragora
Escrito por Dragora

Una vulnerabilidad crítica de ejecución remota de código (RCE) en Apache Tomcat, identificada como CVE-2025-24813, está siendo activamente explotada por ciberdelincuentes. Este fallo de seguridad permite a los atacantes tomar control total de los servidores afectados mediante una simple solicitud PUT, representando una grave amenaza para entornos que dependen de este servidor web.

Explotación activa y alcance del ataque

Los informes de seguridad revelan que los atacantes están aprovechando exploits de prueba de concepto (PoC), publicados en GitHub apenas 30 horas después de la divulgación de la vulnerabilidad. Esto ha permitido una rápida proliferación de ataques dirigidos a servidores que aún no han sido parcheados.

Investigadores de Wallarm han confirmado actividad maliciosa, advirtiendo que las herramientas de seguridad tradicionales no detectan eficazmente estos ataques. La razón principal es que las solicitudes PUT parecen legítimas y el contenido malicioso está ofuscado con codificación Base64, lo que dificulta su identificación.

Mecanismo del ataque

El ataque basado en CVE-2025-24813 se ejecuta en dos fases:

  1. Carga del exploit: El atacante envía una solicitud PUT con una carga útil de Java serializada codificada en Base64. Esta carga se almacena en el sistema de sesión de Tomcat.
  2. Ejecución del código malicioso: Posteriormente, se envía una solicitud GET con una cookie JSESSIONID, que apunta al archivo de sesión cargado. Esto obliga a Tomcat a deserializar y ejecutar el código malicioso, otorgando acceso total al atacante.

Este vector de ataque es particularmente peligroso porque no requiere autenticación y se basa en características por defecto de Tomcat, como:

  • Aceptación de solicitudes PUT parciales.
  • Persistencia de sesión en almacenamiento basado en archivos.
  • Uso de archivos de sesión accesibles por el atacante.

«Este ataque es muy sencillo de ejecutar y no requiere autenticación», explicó Wallarm. «El único requisito es que Tomcat utilice almacenamiento de sesión basado en archivos, algo común en muchas implementaciones. Además, la codificación Base64 permite evadir filtros de seguridad tradicionales, complicando la detección».+

Gato

Versiones afectadas y detalles técnicos

La vulnerabilidad CVE-2025-24813 afecta a múltiples versiones de Apache Tomcat:

  • Tomcat 11: versiones 11.0.0-M1 a 11.0.2.
  • Tomcat 10: versiones 10.1.0-M1 a 10.1.34.
  • Tomcat 9: versiones 9.0.0.M1 a 9.0.98.

El boletín de seguridad de Apache advirtió que, bajo ciertas condiciones, un atacante podría inyectar o visualizar contenido arbitrario en archivos críticos. Las condiciones para la explotación incluyen:

  • Escrituras habilitadas para el servlet predeterminado (
    1
    readonly= "false"

    ). (Deshabilitado por defecto).

  • Compatibilidad con PUT parcial habilitada (activada por defecto).
  • Archivos sensibles ubicados en subdirectorios de carga pública.
  • El atacante conoce los nombres de archivos sensibles.
  • Uso de PUT parcial para la carga de archivos críticos.

Medidas de mitigación y actualización recomendada

Para evitar la explotación de esta vulnerabilidad, Apache recomienda actualizar inmediatamente a las versiones parcheadas:

  • Tomcat 11.0.3+
  • Tomcat 10.1.35+
  • Tomcat 9.0.99+

Adicionalmente, se pueden aplicar medidas de mitigación en entornos donde la actualización inmediata no sea posible:

  • Configurar el servlet predeterminado con
    1
    readonly= "true"

    .

  • Deshabilitar la compatibilidad con PUT parcial.
  • Evitar almacenar archivos sensibles en subdirectorios accesibles públicamente.

Riesgo de futuras vulnerabilidades RCE

Expertos en ciberseguridad advierten que el problema subyacente no es solo la explotación activa de CVE-2025-24813, sino la posibilidad de futuras vulnerabilidades relacionadas con el manejo de PUT parcial en Tomcat.

Según Wallarm, los atacantes evolucionarán sus tácticas, utilizando archivos JSP maliciosos, alterando configuraciones del servidor y plantando puertas traseras en ubicaciones críticas fuera del almacenamiento de sesiones.

«Los ciberdelincuentes no se detendrán aquí. Esta es solo la primera ola de ataques. Pronto veremos variantes más avanzadas aprovechando esta misma técnica», advirtió Wallarm.

La vulnerabilidad CVE-2025-24813 representa una grave amenaza de seguridad para los servidores Apache Tomcat. La explotación activa de esta falla subraya la importancia de mantener los sistemas actualizados y aplicar configuraciones seguras.

Si administras servidores Tomcat, es urgente:

  • Actualizar a las versiones seguras.
  • Implementar mitigaciones si no puedes actualizar de inmediato.
  • Monitorizar solicitudes PUT sospechosas y el uso de archivos de sesión en entornos de producción.

El seguimiento constante de nuevas vulnerabilidades y buenas prácticas de seguridad es clave para protegerse contra ataques RCE y otras amenazas emergentes en servidores web.

Fuente: Bleeping Computer 

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

YouTube prueba resúmenes generados por inteligencia artificial

DragonForce: el cártel de ransomware que cambia las...

WooCommerce: Falsa alerta de seguridad instala puertas traseras...

ImmigrationOS: El controvertido sistema para automatizar deportaciones en...

MTN Group sufre incidente de ciberseguridad que expone...

Windows 11 KB5055627: actualización de abril 2025

Intel anuncia despido del 20% de su plantilla

WhatsApp añade nueva función de privacidad

Stablecoin de PayPal y su nuevo programa de...

El Salvador apuesta fuerte por una IA soberana...

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!