Bảo vệ Hệ Thống: Hiểu về CVE-2025-24813 và Biện Pháp Phòng Chống

21/03/2025
2 mins read


Hiểu về CVE-2025-24813

  • Loại điểm yếu: CVE-2025-24813 là một điểm yếu về sự tương đương đường dẫn trong Apache Tomcat, cho phép kẻ tấn công khai thác cách Tomcat xử lý các đường dẫn tệp trong các yêu cầu PUT một phần.
  • Độ nghiêm trọng: Mặc dù Apache đã xếp loại điểm yếu này là có độ nghiêm trọng trung bình do các điều kiện tiên quyết cụ thể để khai thác, nhưng nó vẫn gây ra những rủi ro nghiêm trọng nếu bị khai thác, bao gồm Thực thi Mã Từ Xa (RCE).
  • Các điều kiện tiên quyết để khai thác:
    • Có khả năng ghi của Servlet mặc định: Điều này phải được kích hoạt rõ ràng, vốn không phải là mặc định.
    • Các yêu cầu PUT một phần: Các yêu cầu này phải được cho phép.
    • Bảo lưu phiên dựa trên tệp: Ứng dụng web phải sử dụng điều này với các vị trí lưu trữ mặc định.
    • Thư viện dễ bị deserialization: Một thư viện như vậy phải có mặt để payload thực thi thông qua deserialization.
    • Kiến thức về tên tệp nội bộ: Kẻ tấn công cần biết các quy ước về tên tệp và cấu trúc thư mục của máy chủ mục tiêu.

Chi tiết khai thác

  • Các bước tấn công:
    1. Tải lên tệp phiên độc hại: Kẻ tấn công gửi yêu cầu PUT để tải lên một tệp phiên Java đã chỉnh sửa. Tên và địa chỉ của tệp được thao tác để khai thác điểm yếu về sự tương đương đường dẫn, cho phép kẻ tấn công ghi tệp phiên vào một vị trí mà nó có thể truy cập.
    2. Kích hoạt deserialization: Kẻ tấn công sau đó gửi yêu cầu GET tham chiếu đến ID phiên độc hại. Điều này kích hoạt deserialization của tệp phiên đã tải lên, có khả năng dẫn đến thực thi mã từ xa.

Khai thác trong thế giới thực

  • Thông tin về tấn công đã quan sát: Nhóm An ninh Intel của Akamai đã báo cáo quan sát thấy lưu lượng tấn công chỉ vài ngày sau khi điểm yếu được công bố. Hầu hết các payload tấn công nhằm vào việc dò xét các máy chủ tiềm năng để tìm kiếm các điểm yếu, với một sự chú ý đáng kể vào việc nhắm mục tiêu đến các đường dẫn tệp .session.
  • Các biến thể tấn công phổ biến:
    • Mục tiêu tệp phiên: Kẻ tấn công nhắm mục tiêu cụ thể vào các tệp .session, sử dụng một sơ đồ đặt tên ngẫu nhiên, thêm một chuỗi bốn ký tự vào với phần mở rộng .session.
    • Đối tượng nhúng Java: Các đối tượng độc hại, thường liên quan đến java.net.URL, được sử dụng để “gọi về” sau khi deserialization, cho thấy việc khai thác thành công.

Các bước giảm thiểu

  • Cập nhật lên các phiên bản đã vá: Nâng cấp lên các phiên bản Apache Tomcat 11.0.3, 10.1.35 hoặc 9.0.99, các phiên bản này đã chứa các bản vá cho CVE-2025-24813.
  • Các biện pháp giảm thiểu thay thế:
    • Vô hiệu hóa các yêu cầu PUT một phần: Thay đổi cài đặt allowPartialPut trong conf/web.xml và đặt nó thành false, sau đó khởi động lại Tomcat.
    • Vô hiệu hóa quyền ghi cho DefaultServlet: Đảm bảo thuộc tính readonly được thiết lập là true trong cấu hình DefaultServlet.
    • Hạn chế vị trí tệp nhạy cảm: Tránh đặt các tệp nhạy cảm trong các thư mục con của các đường dẫn tải lên công khai để ngăn chặn truy cập trái phép.

Các phương pháp phát hiện

  • Quét đệ quy: Tìm các tệp tomcat-api.jar, chỉ ra sự hiện diện của Tomcat.
  • Đánh giá phiên bản: Trích xuất phiên bản từ lại manifests JAR và so sánh nó với các phiên bản dễ bị tấn công đã biết.
  • Truy vấn Akamai Guardicore Insight: Sử dụng các truy vấn cụ thể để xác định các tài sản dễ bị tổn thương.

Bằng cách tuân theo các bước này, các tổ chức có thể giảm thiểu hiệu quả các rủi ro liên quan đến CVE-2025-24813 và bảo vệ hệ thống của mình khỏi các hoạt động khai thác tiềm năng.


Tags