Критические уязвимости в Apache угрожают миллионам серверов: анализ атак на Tomcat и Camel

information security

В марте 2025 года Apache Software Foundation подтвердила три критические уязвимости в своих ключевых продуктах - Apache Tomcat и Apache Camel, что создало беспрецедентные риски для глобальной инфраструктуры. Уязвимость CVE-2025-24813 в Tomcat, используемом для запуска Java-приложений, и двойная угроза CVE-2025-27636/CVE-2025-29891 в Camel, фреймворке для интеграции систем, позволяют злоумышленникам выполнять произвольный код на уязвимых серверах.

Описание

По данным Palo Alto Networks, за март зафиксировано 125 856 попыток сканирования и эксплуатации этих уязвимостей, причем активность резко возросла сразу после публикации PoC-эксплойтов. Атаки затронули серверы в более чем 70 странах, демонстрируя глобальный масштаб угрозы. Уязвимости затрагивают популярные версии ПО: Tomcat 9.0.0.M1-9.0.98, 10.1.0-M1-10.1.34, 11.0.0-M1-11.0.2 и Camel 4.10.0-4.10.1, 4.8.0-4.8.4, 3.10.0-3.22.3.

Суть CVE-2025-24813 в Apache Tomcat заключается в опасной комбинации функции частичной загрузки через PUT-запросы и механизма сохранения сессий. Когда Tomcat настроен на сохранение данных сессии (через параметр PersistentManager в content.xml) и имеет отключенную защиту readonly в web.xml, злоумышленник может отправить специально сформированный PUT-запрос с заголовком Content-Range. Это позволяет записать сериализованный вредоносный код в файл с расширением .session в директории $TOMCAT_HOME/webapps/ROOT/. Затем отправляется GET-запрос с поддельным cookie JSESSIONID, содержащим имя этого файла, что заставляет Tomcat десериализовать и выполнить вложенный код. Анализ кода DefaultServlet.java и PersistentManagerBase.java показал, что уязвимость возникает из-за отсутствия проверки происхождения файлов сессий при их загрузке из рабочего каталога.

Аналогично критичны уязвимости в Apache Camel. CVE-2025-27636 и CVE-2025-29891 связаны с обходом фильтрации заголовков HTTP. По умолчанию Camel игнорирует заголовки, начинающиеся с "Camel", но из-за чувствительности к регистру злоумышленник может использовать вариации вроде "CAmel". Если приложение использует компонент camel-exec, поддельный заголовок вроде CAmelExecCommandExecutable позволит выполнить произвольные команды. Исследование кода HttpHeaderFilterStrategy.java и DefaultExecBinding.java выявило, что проверка headerFilterStrategy.applyFilterToExternalHeaders не учитывает регистр, что открывает путь для инъекций. В эксплойтах наблюдались попытки запуска команд echo или обратных оболочек через curl, что подтверждает риск полного захвата контроля.

Телеметрия Palo Alto Networks рисует тревожную картину. Пик атак пришелся на третью неделю марта 2025 года, причем 78% инцидентов с Tomcat использовали шаблон Nuclei Scanner с характерными признаками: длина имени сессии в 6 символов и заголовок Content-Range: bytes 0-452/457. Это указывает на автоматизированные массовые сканирования. Для Camel чаще фиксировались запросы с подменой заголовков, содержащие команды для OAST-серверов (Out-of-band Application Security Testing), что позволяет атакующим скрытно подтверждать успешность эксплуатации. Анализ полезной нагрузки показал использование сериализованных Java-объектов в атаках на Tomcat и попытки выполнения шелл-кодов через заголовки в Camel.

Опасность этих уязвимостей усугубляется их сочетанием: компрометация Tomcat открывает доступ к веб-приложениям, а Camel часто используется во внутренних интеграциях, что позволяет злоумышленникам перемещаться по сети. Ключевыми факторами риска остаются необновленные системы и ошибочные конфигурации. Например, в Tomcat уязвимость активна только при явном отключении readonly и включении сохранения сессий, но многие администраторы оставляют эти настройки по умолчанию из-за требований совместимости.

Palo Alto Networks рекомендует немедленно установить патчи Apache и пересмотреть конфигурации. Решения компании, включая Next-Generation Firewall с подпиской Advanced Threat Prevention, блокируют подозрительные запросы, а Cortex Xpanse помогает выявлять уязвимые экземпляры. Тем не менее, скорость распространения эксплойтов требует оперативных действий: свыше 60% атак зафиксировано в первые 72 часа после публикации деталей уязвимостей. Инциденты подчеркивают необходимость многослойной защиты, особенно для ПО с открытым исходным кодом, где злоумышленники активно ищут ошибки конфигурации. Эксперты Unit 42 предупреждают, что затишье после мартовского пика может смениться новой волной целенаправленных атак, поскольку киберпреступники совершенствуют методы обхода систем обнаружения. Угроза сохраняется для организаций, откладывающих обновления, а техническая сложность эксплуатации снижается благодаря доступности скриптов в открытых репозиториях. Текущая ситуация служит жестким напоминанием: безопасность инфраструктурных компонентов требует не только своевременного патчинга, но и глубокого аудита настроек, особенно при использовании мощных функций вроде сериализации или динамической загрузки кода.

Индикаторы компрометации

IPv4

  • 100.65.135.245
  • 123.16.159.102
  • 130.212.99.156
  • 138.197.82.147
  • 139.87.112.115
  • 139.87.112.121
  • 139.87.112.169
  • 139.87.112.98
  • 139.87.113.24
  • 139.87.113.26
  • 162.241.149.101
  • 167.172.67.75
  • 185.91.127.9
  • 193.53.40.18
  • 195.164.49.70
  • 209.189.232.134
  • 212.56.34.85
  • 22.85.196.34
  • 30.153.178.49
  • 54.120.8.207
  • 54.120.8.214
  • 54.147.173.17
  • 54.193.62.84
  • 54.96.66.57
  • 64.39.98.139
  • 64.39.98.245
  • 64.39.98.52
  • 64.39.98.9
  • 91.208.206.203
  • 96.113.95.10

SHA256

  • 6a9a0a3f0763a359737da801a48c7a0a7a75d6fa810418216628891893773540
  • 6b7912e550c66688c65f8cf8651b638defc4dbeabae5f0f6a23fb20d98333f6b
Комментарии: 0