Lỗ hổng Apache Tomcat CVE-2025-24813: Tác động và Biện pháp giảm thiểu

31/03/2025
2 mins read
Nội dung
Thông tin về lỗ hổng Apache Tomcat
Phiên bản bị ảnh hưởng
Kỹ thuật khai thác
Các điều kiện khai thác
Tác động
Các biện pháp giảm thiểu
Khai thác tích cực

Thông tin về lỗ hổng Apache Tomcat

Lỗ hổng của Apache Tomcat, được theo dõi với mã CVE-2025-24813, đã bị kẻ tấn công lợi dụng để đạt được khả năng thực thi mã từ xa (RCE) trên các máy chủ bị ảnh hưởng. Dưới đây là các điểm chính:

Phiên bản bị ảnh hưởng

Lỗ hổng này ảnh hưởng đến các phiên bản Apache Tomcat từ 9.0.0-M1 đến 9.0.98, 10.1.0-M1 đến 10.1.34, và 11.0.0-M1 đến 11.0.2.

Kỹ thuật khai thác

Quá trình khai thác diễn ra qua hai bước:

  1. Tải lên Payload độc hại: Kẻ tấn công gửi một yêu cầu PUT với một payload Java được chế tạo độc hại đến một thư mục có thể ghi.
  2. Kích hoạt Deserialization: Một yêu cầu GET được gửi với cookie “JSESSIONID” được chế tạo đặc biệt, khiến máy chủ deserialization payload và thực thi mã tùy ý.

Các điều kiện khai thác

Việc khai thác thành công yêu cầu các điều kiện cụ thể:

  • Quyền ghi: Servler mặc định phải có quyền ghi (tắt theo mặc định).
  • Hỗ trợ Partial PUT: Hỗ trợ Partial PUT phải được kích hoạt (mặc định đã được kích hoạt).
  • Persistence phiên dựa trên tệp: Ứng dụng phải sử dụng persistence phiên dựa trên tệp với một thư viện dễ bị tấn công bằng deserialization.

Tác động

Lỗ hổng này có thể dẫn đến:

  • Thực thi mã từ xa: Nếu ứng dụng sử dụng persistence phiên dựa trên tệp của Tomcat và bao gồm một thư viện dễ bị tổn thương khi deserialization, kẻ tấn công có thể tải lên một tệp phiên được chế tạo và kích hoạt quá trình deserialization.
  • Tiết lộ thông tin: Nếu kẻ tấn công đoán đúng tên tệp và cấu hình máy chủ cho phép truy cập, dữ liệu nhạy cảm có thể bị tiết lộ.
  • Hư hỏng dữ liệu: Nội dung độc hại có thể được chèn vào các tệp hiện có, gây tổn hại cho tính toàn vẹn dữ liệu.

Các biện pháp giảm thiểu

Để giảm thiểu rủi ro liên quan đến CVE-2025-24813:

  1. Cập nhật Apache Tomcat: Nâng cấp lên các phiên bản đã được vá (11.0.3, 10.1.35, hoặc 9.0.99).
  2. Vô hiệu hóa quyền ghi: Đặt thuộc tính readonly thành true trong conf/web.xml để chặn các ghi không được phép.
  3. Vô hiệu hóa hỗ trợ Partial PUT: Đặt tham số allowPartialPut thành false trong conf/web.xml.
  4. Tránh sử dụng persistence phiên dựa trên tệp: Trừ khi thật sự cần thiết, nên tránh sử dụng persistence phiên dựa trên tệp.
  5. Sử dụng chữ ký IPS cập nhật: Sử dụng chữ ký IPS cập nhật để phát hiện và chặn các payload độc hại nhắm vào lỗ hổng này.

Khai thác tích cực

Lỗ hổng đã bị khai thác tích cực trên thực địa, với các báo cáo về các nỗ lực khai thác từ sớm nhất vào ngày 11 tháng 3 năm 2025. Phần lớn các nỗ lực khai thác nhắm vào các hệ thống ở Hoa Kỳ, Nhật Bản, Ấn Độ, Hàn Quốc và Mexico.