CISA advierte sobre una vulnerabilidad en Apache Tomcat que ha sido explotada en la naturaleza

La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) ha agregado una vulnerabilidad crítica de Apache Tomcat a su explotación conocida de explotación en la naturaleza, de acuerdo con la evidencia de explotación activa en la naturaleza.

La vulnerabilidad rastreada como CVE-2025-24813 permite a los atacantes remotos ejecutar código arbitrario, acceder a información confidencial e inyectar contenido malicioso a través de fallas equivalentes de ruta en el software popular del servidor web.

Vulnerabilidad equivalente a la ruta de apache tomcat

CVE-2025-24813 es una vulnerabilidad equivalente con un puntaje CVSS de 9.8, que representa un riesgo grave para las organizaciones que ejecutan una instalación de Tomcat a continuación.

Los fallas son el resultado del manejo inadecuado de las solicitudes de PUT parciales, lo que permite lograr la ejecución del código remoto a través de una cadena de ataque sofisticada.

“Esta vulnerabilidad no es universalmente explotable. Requiere la confluencia de configuraciones específicas”, los investigadores de seguridad están investigando el defecto.

Sin embargo, según los investigadores de Wallarm citados en un informe reciente, cuando estas condiciones están alineadas, el ataque se vuelve “fácil de ejecutar”.

La vulnerabilidad afecta a múltiples versiones de Apache Tomcat, incluyendo 11.0.0-m1 a 11.0.2, 10.1.0-m1 a 10.1.34 y 9.0.0.m1 a 9.0.98.

Los investigadores de seguridad también confirmaron que las versiones 8.5.x (particularmente la excepción de 8.5.0-8.5.98 y 8.5.100, 8.5.99) eran vulnerables, pero estas inicialmente no se incluyeron en el aviso de Apache.

A continuación se muestra una descripción general de la vulnerabilidad:

Los factores de riesgo están aislados
Versiones afectadas de los productos Tomcat 9.0.0-m1-9.0.98, 10.1.0-m1-10.1.34 y 11.0.0-m1-11.0.2
Impacto en la ejecución del código remoto (RCE), divulgación de información, inyección de contenido malicioso, cambios ilegales a archivos cargados
PREERECHISITISITSEDEFOULT SERVLET Capibalidad de escritura, Permiso de solicitud de Solio Put Parcial, Persistencia de la sesión basada en archivos, Desertación – La existencia de bibliotecas interferibles, Convención de nombres internos CVSS 3.1 Puntuación 99.8 (crítico) Conocimiento

Los expertos en seguridad han identificado el proceso de explotación de la siguiente manera:

El atacante envía una solicitud PUT que contiene una carga de Java con codificación de Base64 al servidor vulnerable.

Siguen las solicitudes de Get que contienen una cookie “JSesionID” especialmente creada que hace referencia a sesiones maliciosas. Esto aflojará la carga útil y activará la ejecución del código.

Para tener éxito en la explotación, se deben cumplir varias condiciones.

El servlet predeterminado requiere permisos de escritura válidos (deshabilitado por defecto). Debe habilitar el soporte de PUT parcial (habilitado de forma predeterminada). Las aplicaciones deben usar la persistencia de la sesión basada en archivos en Tomcat. Su aplicación debe incluir las bibliotecas de interrupción requeridas.

reparar

CISA agregó CVE-2025-24813 a su catálogo de KEV, señalando que era “un vector de ataque frecuente para los actores cibernéticos maliciosos” “riesgos sustanciales para las empresas federales”.

La Agencia Federal de División de Control Civil (FCEB) debe reparar esta vulnerabilidad antes del 22 de abril de 2025.

La directiva se aplica solo a las agencias federales, pero la CISA “exige firmemente a todas las organizaciones para reducir la exposición a los ataques cibernéticos al priorizar la remediación oportuna”.

Apache ha lanzado una versión parcheada para abordar esta vulnerabilidad. Las organizaciones deben actualizarse inmediatamente a las versiones de Apache Tomcat 9.0.99, 10.1.35 o 11.0.3 si son adecuadas para su entorno.

Los expertos en seguridad también recomiendan estas estrategias de mitigación adicionales.

Desactiva los métodos HTTP innecesarios. Haga cumplir el estricto control de acceso. Implemente el firewall de la aplicación web (WAF). Implementar monitoreo continuo de métricas de amenazas.

Para las organizaciones que no pueden parchear de inmediato, puede verificar la configuración del servidor para asegurarse de que no tiene permisos de escritura que tengan el servlet predeterminado habilitado.

Investigue enlaces maliciosos del mundo real y ataques de phishing con búsqueda de inteligencia de amenazas: pruébelo gratis