HackerNews 编译，转载请注明出处： 威胁情报公司GreyNoise警告称，近期出现针对Apache Tomcat Manager接口的“协同暴力破解活动”。 该公司指出，2025年6月5日观察到暴力破解和登录尝试激增，表明这可能是“大规模识别和访问暴露Tomcat服务”的有组织行动。当日共发现295个独立IP地址参与针对Tomcat Manager的暴力破解尝试，均被归类为恶意地址。过去24小时内记录到188个独立IP，主要位于美国、英国、德国、荷兰和新加坡。 同期还监测到298个独立IP对Tomcat Manager实例发起登录尝试。过去24小时标记的246个IP地址均属恶意，来源地相同。攻击目标同期覆盖美国、英国、西班牙、德国、印度和巴西。GreyNoise强调大部分活动源自DigitalOcean（ASN 14061）托管的基础设施。 “尽管未关联特定漏洞，此行为表明暴露的Tomcat服务持续受到关注”，该公司补充道，“此类广泛的投机活动通常是未来攻击的前兆。” 建议暴露Tomcat Manager接口的组织实施强认证和访问限制，并监控可疑活动迹象。 此披露之际，Bitsight公司发现互联网上暴露超4万台监控摄像头，可能允许任何人通过HTTP或实时流协议（RTSP）访问实时视频。暴露设备集中在美国、日本、奥地利、捷克和韩国。电信行业占暴露摄像头的79%，其次是科技（6%）、媒体（4.1%）、公用事业（2.5%）、教育（2.2%）、商业服务（2.2%）和政府（1.2%）。这些设备分布在住宅、办公室、公共交通系统和工厂等场所，无意中泄露敏感信息，可能被用于间谍活动、跟踪和勒索。 建议用户修改默认账户密码，非必要则禁用远程访问（或通过防火墙和VPN限制访问），并保持固件更新。“这些用于安保或便利的摄像头，无意间成为敏感空间的公开窗口，且所有者往往毫不知情”，安全研究员João Cruz在报告中表示，“无论安装目的为何，设备即插即用的简易性正是威胁持续存在的主因。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 近日，Apache Tomcat 被披露存在一个安全漏洞，该漏洞在公开披露仅 30 小时后，随着公共概念验证（PoC）的发布，已在野外被积极利用。 该漏洞被追踪为 CVE-2025-24813，影响以下版本： – Apache Tomcat 11.0.0-M1 至 11.0.2 – Apache Tomcat 10.1.0-M1 至 10.1.34 – Apache Tomcat 9.0.0-M1 至 9.0.98 当满足特定条件时，该漏洞可能导致远程代码执行或信息泄露： – 默认 Servlet 的写入功能已启用（默认情况下禁用） – 支持部分 PUT（默认情况下启用） – 安全敏感上传的目标 URL 是公共上传目标 URL 的子目录 – 攻击者了解正在上传的安全敏感文件的名称 – 安全敏感文件也通过部分 PUT 上传 若成功利用该漏洞，恶意用户可查看安全敏感文件，或通过 PUT 请求将任意内容注入这些文件。 此外，若以下所有条件均满足，攻击者还可实现远程代码执行： – 默认 Servlet 的写入功能已启用（默认情况下禁用） – 支持部分 PUT（默认情况下启用） – 应用程序使用了 Tomcat 的基于文件的会话持久化功能，并使用了默认存储位置 – 应用程序包含可能被用于反序列化攻击的库 上周，项目维护者在一份咨询报告中表示，该漏洞已在 Tomcat 版本 9.0.99、10.1.35 和 11.0.3 中得到解决。 然而，Wallarm 公司指出，该漏洞已出现野外利用尝试。 “此次攻击利用了 Tomcat 的默认会话持久化机制及其对部分 PUT 请求的支持，”该公司表示。 “该漏洞的利用分为两个步骤：攻击者通过 PUT 请求上传一个序列化的 Java 会话文件。攻击者通过在 GET 请求中引用恶意会话 ID 来触发反序列化。” 换句话说，这些攻击涉及发送一个包含 Base64 编码序列化 Java 负载的 PUT 请求，该请求被写入 Tomcat 的会话存储目录，随后通过发送一个带有指向恶意会话的 JSESSIONID 的 GET 请求来执行反序列化。 Wallarm 还指出，该漏洞极易被利用，且无需身份验证。唯一的先决条件是 Tomcat 使用基于文件的会话存储。 “虽然此漏洞利用了会话存储，但更大的问题是 Tomcat 对部分 PUT 处理不当，这允许几乎在任何位置上传任何文件，”它补充道。“攻击者将很快开始改变策略，上传恶意 JSP 文件，修改配置，并在会话存储之外植入后门。” 建议运行受影响版本 Tomcat 的用户尽快更新其实例，以减轻潜在威胁。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Apache 软件基金会（ASF）发布了一项安全更新，以解决其 Tomcat 服务器软件中的一个重要漏洞，该漏洞在特定条件下可能导致远程代码执行（RCE）。 被追踪为 CVE-2024-56337 的漏洞，被描述为对 CVE-2024-50379（CVSS 评分：9.8）的不完整修复，这是同一产品中先前在 2024 年 12 月 17 日解决的另一个关键安全缺陷。 项目维护者在上周的咨询中表示：“在大小写不敏感的文件系统上运行 Tomcat，并且默认 servlet 写入功能启用（readonly 初始化参数设置为非默认值 false）的用户，可能需要根据他们与 Tomcat 一起使用的 Java 版本进行额外配置，以完全缓解 CVE-2024-50379。” 这两个漏洞都是检查时间与使用时间（TOCTOU）竞态条件漏洞，当默认 servlet 被设置为允许写入时，可能会导致在大小写不敏感的文件系统上执行代码。 Apache 在 CVE-2024-50379 的警报中指出：“在负载下对同一文件进行并发读取和上传可以绕过 Tomcat 的大小写敏感性检查，导致上传的文件被视为 JSP，从而导致远程代码执行。” CVE-2024-56337 影响以下版本的 Apache Tomcat： – Apache Tomcat 11.0.0-M1 至 11.0.1（在 11.0.2 或更高版本中修复） – Apache Tomcat 10.1.0-M1 至 10.1.33（在 10.1.34 或更高版本中修复） – Apache Tomcat 9.0.0.M1 至 9.0.97（在 9.0.98 或更高版本中修复） 此外，根据运行的 Java 版本，用户需要进行以下配置更改： – Java 8 或 Java 11 – 明确设置系统属性 sun.io.useCanonCaches 为 false（默认为 true） – Java 17 – 如果已经设置，则将系统属性 sun.io.useCanonCaches 设置为 false（默认为 false） – Java 21 及更高版本 – 不需要采取行动，因为系统属性已被移除 ASF 感谢安全研究人员 Nacl、WHOAMI、Yemoli 和 Ruozhi 识别并报告了这两个缺陷。它还感谢知道创宇404 团队独立报告了 CVE-2024-56337 并提供了概念验证（PoC）代码。 这一披露是在 Zero Day Initiative（ZDI）分享了 Webmin（CVE-2024-12828，CVSS 评分：9.9）的一个关键漏洞细节时发布的，该漏洞允许经过身份验证的远程攻击者执行任意代码。 ZDI 表示：“特定的漏洞存在于处理 CGI 请求的过程中。”“问题是由于在使用用户提供的字符串执行系统调用之前，没有进行适当的验证。攻击者可以利用这个漏洞，在 root 权限下执行代码。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文