Lỗ hổng nguy hiểm CVE-2025-24813 trong Apache Tomcat bị khai thác, PoC được công bố

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
94
723 bài viết
Lỗ hổng nguy hiểm CVE-2025-24813 trong Apache Tomcat bị khai thác, PoC được công bố
WhiteHat Team
Một lỗ hổng nghiêm trọng dẫn đến thực thi mã từ xa (RCE) có mã CVE-2025-24813 hiện đang bị tin tặc khai thác trên thực tế, cho phép kẻ tấn công chiếm quyền Apache Tomcat bị lỗi chỉ với truy vấn PUT API duy nhất. Theo một báo cáo, mã khai thác (PoC) ban đầu được đăng tải trên một diễn đàn Trung Quốc.

1742274286467.png

Lợi dụng cơ chế lưu trữ session mặc định của Tomcat và tính năng hỗ trợ truy vấn PUT API, cuộc tấn công diễn ra trong hai bước:
  • Kẻ tấn công tải lên một file session Java đã được serialize chứa mã độc thông qua truy vấn PUT API. Truy vấn này ghi file vào thư mục lưu trữ session của Tomcat, giúp lưu trữ payload độc hại trên ổ đĩa.
  • Tiếp theo, kẻ tấn công gửi một truy vấn GET với JSESSIONID trỏ đến session chứa mã độc, kích hoạt quá trình deserialization và thực thi mã Java nhúng trong file.
Lỗ hổng CVE-2025-24813 có thể bị kẻ tấn công chưa xác thực khai thác nếu thỏa mãn các điều kiện sau:
  • Ứng dụng cho phép ghi servlet (mặc định bị tắt).
  • Tomcat sử dụng cơ chế lưu trữ session dưới dạng file và đường dẫn lưu trữ mặc định.
  • Ứng dụng có chứa thư viện khai thác lỗi deserialization.
Báo cáo xác định rằng cuộc tấn công này rất dễ thực hiện mà không cần xác thực, trong khi việc Tomcat sử dụng lưu trữ phiên dưới dạng tệp càng làm gia tăng mức độ rủi ro.

Payload (tải trọng dữ liệu) được mã hóa bằng base64 khiến cuộc tấn công vượt qua hầu hết các bộ lọc bảo mật truyền thống, đồng nghĩa việc tường lửa ứng dụng web (WAF) khó phát hiện.

Nguyên nhân khiến WAF không thể nhận diện cuộc tấn công gồm:
  • Truy vấn PUT trông bình thường, không có dấu hiệu độc hại rõ ràng.
  • Payload được mã hóa base64, khiến các phương pháp phát hiện dựa trên mẫu không hiệu quả.
  • Cuộc tấn công diễn ra trong hai bước, mã độc chỉ thực thi khi quá trình giải tuần tự (deserialization) xảy ra.
Lỗ hổng CVE-2025-24813 ảnh hưởng đến các phiên bản Apache Tomcat từ 11.0.0-M1 đến 11.0.2, 10.1.0-M1 đến 10.1.34, và 9.0.0-M1 đến 9.0.98. Tuy nhiên, Apache đã phát hành bản vá, và các phiên bản an toàn bao gồm Apache Tomcat 11.0.3 trở lên, 10.1.35 trở lên và 9.0.99 trở lên.

Để bảo vệ hệ thống, quản trị viên nên ưu tiên cập nhật lên phiên bản đã được vá lỗi. Nếu chưa thể nâng cấp ngay, người dùng nên thực hiện các biện pháp tạm thời sau để tránh nguy cơ bị tấn công:
  • Đặt tham số readonly trong tệp conf/web.xml thành true hoặc vô hiệu hóa bằng cách comment (nếu không ảnh hưởng đến dịch vụ).
  • Chặn phương thức PUT và khởi động lại Tomcat.
  • Tắt org.apache.catalina.session.PersistentManager bằng cách đặt giá trị false.
Theo Security Online
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • CVE-2025-31103: Lỗ hổng Zero-Day nghiêm trọng trong "a-blog cms"
  • Lỗ hổng nghiêm trọng trong Apache Pinot đe dọa hệ thống
  • CVE-2025-2857: Lỗ hổng Firefox Sandbox Escape mới, đe dọa người dùng Windows
  • GitLab cảnh báo nguy cơ lỗ hổng XSS và leo thang đặc quyền
  • Đã có PoC cho hai lỗ hổng nghiêm trọng trong Sitecore CMS
  • Lỗ hổng nghiêm trọng trong WP Ghost – Plugin bảo mật của WordPress
    • Thẻ
    apache tomcat cve-2025-24813
    Bên trên