Tổng quan về các lỗ hổng nghiêm trọng trong Apache Tomcat và Apache Camel
Apache Foundation gần đây đã công bố một loạt các lỗ hổng nghiêm trọng ảnh hưởng đến hai trong số các nền tảng phần mềm được sử dụng rộng rãi của mình: Apache Tomcat và Apache Camel. Những lỗ hổng này, bao gồm khả năng thực thi mã từ xa (RCE), đã nhanh chóng trở thành mối quan tâm hàng đầu trong cộng đồng an ninh mạng toàn cầu.
Chi tiết lỗ hổng thực thi mã từ xa (RCE) trong Apache Tomcat (CVE-2025-24813)
Mô tả và Cơ chế khai thác
Lỗ hổng CVE-2025-24813 được phát hiện trong Apache Tomcat, một nền tảng phổ biến được sử dụng để chạy các ứng dụng web dựa trên Java. Lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa thông qua việc khai thác tính năng partial PUT khi chế độ duy trì phiên (session persistence) được kích hoạt. Cụ thể, khi tính năng này hoạt động, Tomcat sẽ lưu trữ các đối tượng phiên đã được tuần tự hóa (serialized session files) trực tiếp trên đĩa cứng.
Kẻ tấn công có thể lợi dụng điều này bằng cách gửi các yêu cầu HTTP PUT được chế tạo đặc biệt. Các yêu cầu này có thể cho phép ghi đè lên các tệp tin phiên đã được tuần tự hóa trên đĩa. Nếu kẻ tấn công có thể kiểm soát nội dung được ghi vào tệp tin phiên này, họ có khả năng chèn mã độc vào đó. Khi Tomcat cố gắng đọc và giải tuần tự hóa (deserialize) tệp tin phiên bị sửa đổi này, mã độc sẽ được thực thi với đặc quyền của ứng dụng Tomcat. Điều này tạo ra một vectơ tấn công RCE mạnh mẽ, cho phép kẻ tấn công kiểm soát hoàn toàn máy chủ bị ảnh hưởng.
Các phiên bản bị ảnh hưởng và Tác động
Lỗ hổng CVE-2025-24813 ảnh hưởng đến một loạt các phiên bản của Apache Tomcat:
- Phiên bản 9.0.0.M1 đến 9.0.98
- Phiên bản 10.1.0-M1 đến 10.1.34
- Phiên bản 11.0.0-M1 đến 11.0.2
Tác động của lỗ hổng này là nghiêm trọng, vì việc khai thác thành công có thể dẫn đến việc thực thi mã tùy ý trên máy chủ Tomcat. Điều này có thể được sử dụng để thiết lập các cửa hậu (backdoor), đánh cắp dữ liệu, hoặc trở thành điểm khởi đầu cho các cuộc tấn công di chuyển ngang (lateral movement) trong mạng nội bộ của tổ chức.
Chi tiết lỗ hổng thực thi mã từ xa (RCE) trong Apache Camel (CVE-2025-27636 và CVE-2025-29891)
Mô tả và Cơ chế khai thác
Cùng với các tiết lộ về Tomcat, Apache cũng đã công bố hai lỗ hổng RCE khác trong Apache Camel, một framework middleware định tuyến tin nhắn. Hai lỗ hổng này được định danh là CVE-2025-27636 và CVE-2025-29891. Các lỗ hổng này xuất phát từ việc logic xử lý tiêu đề của Apache Camel có thể bị bỏ qua do vấn đề về phân biệt chữ hoa chữ thường (case-sensitive logic).
Cơ chế khai thác các lỗ hổng này liên quan đến việc kẻ tấn công chế tạo các tiêu đề HTTP hoặc tin nhắn được gửi đến Apache Camel. Do lỗi trong logic xử lý phân biệt chữ hoa chữ thường, các bộ lọc bảo mật hoặc kiểm tra hợp lệ tiêu đề có thể bị qua mặt. Điều này cho phép kẻ tấn công chèn các lệnh tùy ý vào các trường tiêu đề hoặc các thành phần tin nhắn khác mà Apache Camel sẽ xử lý. Khi các lệnh này được thực thi, kẻ tấn công có thể đạt được khả năng thực thi mã trên hệ thống, dẫn đến việc kiểm soát máy chủ Apache Camel.
Các phiên bản bị ảnh hưởng và Tác động
Các lỗ hổng CVE-2025-27636 và CVE-2025-29891 ảnh hưởng đến các phiên bản sau của Apache Camel:
- Phiên bản 4.10.0 đến 4.10.1
- Phiên bản 4.8.0 đến 4.8.4
- Phiên bản 3.10.0 đến 3.22.3
Tương tự như lỗ hổng Tomcat, tác động của các lỗ hổng này trong Apache Camel cũng rất nghiêm trọng. Khả năng thực thi các lệnh tùy ý có thể dẫn đến việc thiết lập các kết nối reverse shell (shell đảo ngược), cho phép kẻ tấn công thiết lập một kênh liên lạc ổn định và kiểm soát máy chủ từ xa. Điều này có thể được sử dụng để truy cập trái phép vào dữ liệu nhạy cảm, cài đặt phần mềm độc hại bổ sung, hoặc sử dụng máy chủ làm bàn đạp cho các cuộc tấn công khác.
Phản ứng của cộng đồng an ninh mạng và Hoạt động khai thác trong thực tế
Việc công bố các lỗ hổng này đã kích hoạt một phản ứng nhanh chóng trong cộng đồng an ninh mạng. Ngay sau khi thông tin được công khai, các nhà nghiên cứu đã nhanh chóng công bố các bằng chứng khai thác khái niệm (PoC – Proof-of-Concept) và các công cụ quét để phát hiện các máy chủ dễ bị tổn thương. Điều này đã dẫn đến việc các hoạt động quét và khai thác diễn ra trên diện rộng trong môi trường thực tế.
Theo báo cáo của Palo Alto Networks Unit 42, chỉ riêng trong tháng 3 năm 2025, họ đã chặn tổng cộng 125.856 lượt thăm dò, quét và các nỗ lực khai thác liên quan đến các lỗ hổng này. Các hoạt động tấn công này có nguồn gốc từ hơn 70 quốc gia, cho thấy mức độ quan tâm và phổ biến của việc khai thác. Hoạt động này đạt đỉnh điểm trong tuần đầu tiên sau khi các lỗ hổng được công bố, xác nhận sự hiện diện của các công cụ quét tự động như Nuclei Scanner và các nỗ lực khai thác chủ động.
Đối với CVE-2025-24813 (Apache Tomcat), các nỗ lực khai thác thường liên quan đến việc dàn dựng các payload độc hại thông qua các yêu cầu HTTP PUT. Các yêu cầu này thường chứa các tên phiên cụ thể và tiêu đề Content-Range được chế tạo để kiểm soát vị trí ghi dữ liệu vào tệp tin phiên đã tuần tự hóa. Sau khi payload được ghi, kẻ tấn công sẽ gửi một yêu cầu HTTP GET để kích hoạt quá trình giải tuần tự hóa của mã độc, từ đó đạt được RCE.
Tương tự, các nỗ lực khai thác lỗ hổng Apache Camel thường lợi dụng các tiêu đề HTTP bị thao túng để thực thi các lệnh. Một số nỗ lực tấn công thậm chí còn nhằm mục đích thiết lập kết nối đến các máy chủ kiểm tra bảo mật ứng dụng ngoài băng tần (OAST – Out-of-Band Application Security Testing), cho phép kẻ tấn công thu thập thông tin về quá trình khai thác thành công hoặc nhận phản hồi từ các lệnh đã thực thi.
Mức độ nghiêm trọng và Các biện pháp giảm thiểu
Sự dễ dàng trong việc khai thác các lỗ hổng này, cùng với việc phần mềm Apache được hàng triệu nhà phát triển và tổ chức sử dụng rộng rãi, nhấn mạnh mức độ nghiêm trọng của chúng. Các cuộc tấn công thành công có thể dẫn đến hậu quả nghiêm trọng như rò rỉ dữ liệu nhạy cảm, chiếm đoạt tài khoản quản trị, hoặc tạo điều kiện cho các cuộc tấn công di chuyển ngang để xâm nhập sâu hơn vào hệ thống mạng của tổ chức.
Để giảm thiểu rủi ro, các tổ chức được khuyến nghị mạnh mẽ nên áp dụng các bản vá lỗi ngay lập tức. Đây là biện pháp quan trọng nhất để bảo vệ hệ thống khỏi các cuộc tấn công khai thác các lỗ hổng đã biết này. Ngoài ra, các giải pháp bảo mật tiên tiến có thể giúp phát hiện và ngăn chặn các nỗ lực khai thác:
- Tường lửa thế hệ mới (Next-Generation Firewall – NGFW) với các tính năng như Advanced Threat Prevention và Advanced URL Filtering có thể giúp nhận dạng và chặn lưu lượng truy cập độc hại có liên quan đến các hoạt động thăm dò và khai thác.
- Các nền tảng quản lý bề mặt tấn công như Cortex Xpanse có thể hỗ trợ xác định các máy chủ dễ bị tổn thương có thể tiếp xúc trực tiếp với internet, từ đó ưu tiên việc vá lỗi và cấu hình lại.
Trong trường hợp nghi ngờ đã xảy ra sự xâm nhập, các tổ chức nên liên hệ ngay với các đội ứng phó sự cố chuyên nghiệp để được hỗ trợ điều tra và khắc phục. Việc phản ứng nhanh chóng là rất quan trọng để hạn chế thiệt hại và khôi phục hoạt động bình thường của hệ thống.
