rst_cloud Twitter Update !
博主: rst_cloud
推文: #威胁报告 #低完整性
Apache聚焦:Tomcat部分PUT与Camel头部劫持 | 2025年4月7日
来源:https://t.co/mbWKM3mNil
关键详情如下 ↓
🧑💻攻击者/活动:
Atlas_lion
🎯受害者:Apache Tomcat用户,Apache Camel用户
🔓CVE漏洞:CVE-2025-29891 [Vulners]
- CVSS V3.1评分:4.8,
- Vulners:可利用性:是
软件: - Apache Camel (<3.22.4, <4.8.5, <4.10.2)
CVE-2025-27636 [Vulners]
- CVSS V3.1评分:5.6,
- Vulners:可利用性:是
软件: - Apache Camel (<3.22.4, <4.8.5, <4.10.2)
CVE-2025-24813 [Vulners]
- CVSS V3.1评分:9.8,
- Vulners:可利用性:是
软件: - Apache Tomcat (<9.0.99, <10.1.35, <11.0.3, 9.0.0, 10.1.0)
📚战术、技术与程序(TTPs):
⚔️战术:2
🛠️技术:0
🤖LLM提取的TTPs:
T1027, T1059, T1071.001, T1190, T1210, T1505.003, T1608.001
🧨入侵指标(IOCs):
- 文件:4
- IP地址:30
- 哈希值:2
💽软件:Apache Tomcat
🔢算法:sha256
📜编程语言:java
#威胁报告:
2025年3月,Apache软件基金会披露了影响Apache Tomcat和Apache Camel的关键漏洞,特别是包括CVE-2025-24813、CVE-2025-27636和CVE-2025-29891。CVE-2025-24813允许攻击者利用Apache Tomcat会话持久化功能中的缺陷远程执行任意代码,该功能存储序列化的会话数据。该漏洞影响Tomcat版本从9.0.0.M1到9.0.98、10.1.0-M1到10.1.34以及11.0.0-M1到11.0.2。攻击者可以通过精心构造的HTTP PUT请求覆盖磁盘上的序列化会话文件,从而控制会话ID和文件名以触发恶意代码的反序列化。
要利用此漏洞,攻击者首先通过HTTP PUT请求发送包含序列化恶意代码的文件来准备其负载。易受攻击的Tomcat实例缓存此恶意代码,该代码存储在.session文件名下。随后,攻击者通过包含特制JSESSIONID cookie的HTTP GET请求触发漏洞利用,以启动缓存文件的反序列化,执行嵌入的恶意代码。此方法突出了在漏洞利用过程中Content-Range HTTP头的重要性。
Apache Camel中的漏洞由于在3.10.0至3.22.3版本中发现的缺陷,允许类似的远程代码执行,并与软件中的消息路由功能相关。这可以通过指定操纵执行命令的头部来利用。这两个漏洞在披露后显示出扫描和探测活动的激增,漏洞公布后不久全球记录了超过125,000次扫描尝试。研究已确认活跃的漏洞利用情况,强调了组织迅速应用可用补丁的必要性。
Palo Alto Networks报告了与这些漏洞相关的大量被阻止的漏洞利用尝试,表明威胁行为者广泛尝试利用这些漏洞进行未经授权的访问。观察到的漏洞利用模式表明,攻击者正在使用诸如Nuclei Scanner之类的工具,这些工具允许简化这些漏洞的检测,对于运行受影响软件版本的组织来说仍然是一个值得关注的问题。建议组织确保及时实施所有安全补丁,以减轻这些漏洞带来的风险。