La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto una vulnerabilità critica di Apache Tomcat al suo catalogo delle vulnerabilità note sfruttate (KEV) in seguito alle prove di sfruttamento attivo in circolazione.
La vulnerabilità, identificata come CVE-2025-24813, consente ad aggressori remoti di eseguire codice arbitrario, accedere a informazioni sensibili o iniettare contenuti dannosi tramite un difetto di equivalenza del percorso nel famoso software per server web.
Vulnerabilità di equivalenza del percorso Apache Tomcat
CVE-2025-24813 è una vulnerabilità di equivalenza del percorso con un punteggio CVSS di 9,8, che rappresenta un grave rischio per le organizzazioni che eseguono installazioni Tomcat non corrette.
La falla è causata dalla gestione impropria delle richieste PUT parziali, che consente ad aggressori non autenticati di eseguire codice in remoto tramite una sofisticata catena di attacchi.
"Questa vulnerabilità non è universalmente sfruttabile. Richiede una confluenza di configurazioni specifiche", hanno osservato i ricercatori della sicurezza che stanno indagando sulla falla.
Tuttavia, quando queste condizioni si allineano, l’attacco diventa “semplicissimo da eseguire”, secondo i ricercatori di Wallarm citati in recenti rapporti.
La vulnerabilità interessa più versioni di Apache Tomcat, tra cui 11.0.0-M1 a 11.0.2, 10.1.0-M1 a 10.1.34 e 9.0.0.M1 a 9.0.98.
I ricercatori di sicurezza hanno confermato che anche le versioni 8.5.x (in particolare dalla 8.5.0 alla 8.5.98 e 8.5.100, esclusa la 8.5.99) sono vulnerabili, sebbene inizialmente non fossero state incluse nell'avviso di Apache.
Di seguito è riportato il riepilogo della vulnerabilità:
Gli esperti di sicurezza hanno identificato il processo di sfruttamento come segue:
Gli aggressori inviano al server vulnerabile una richiesta PUT contenente un payload Java serializzato codificato in Base64.
Seguono una richiesta GET contenente un cookie "JSESSIONID" appositamente creato che fa riferimento alla sessione dannosa. Ciò fa sì che il server deserializzi il payload, innescando l'esecuzione del codice.
Per uno sfruttamento di successo, devono essere soddisfatte diverse condizioni:Il servlet predefinito deve avere i permessi di scrittura abilitati (disabilitati per impostazione predefinita).
Deve essere abilitato il supporto PUT parziale (abilitato per impostazione predefinita).
L'applicazione deve utilizzare la persistenza della sessione basata sui file di Tomcat.
L'applicazione deve includere una libreria vulnerabile alla deserializzazione.
Bonifica
La CISA ha aggiunto CVE-2025-24813 al suo catalogo KEV, segnalandolo come un “frequente vettore di attacco per i malintenzionati” che pone “rischi significativi per l’impresa federale”.
Le agenzie del ramo esecutivo civile federale (FCEB) sono tenute a porre rimedio a questa vulnerabilità entro il 22 aprile 2025, in base alla direttiva operativa vincolante (BOD) 22-01.
Sebbene la direttiva si applichi solo alle agenzie federali, la CISA “esorta fermamente tutte le organizzazioni a ridurre la loro esposizione agli attacchi informatici dando priorità a una tempestiva correzione”.
Apache ha rilasciato versioni patchate per risolvere questa vulnerabilità. Le organizzazioni dovrebbero effettuare immediatamente l'aggiornamento ad Apache Tomcat versioni 9.0.99, 10.1.35 o 11.0.3, a seconda del loro ambiente.
Gli esperti di sicurezza raccomandano inoltre queste ulteriori strategie di mitigazione:Disattivare i metodi HTTP non necessari.
Applicare rigidi controlli di accesso.
Distribuire firewall per applicazioni Web (WAF).
Implementare un monitoraggio continuo degli indicatori di minaccia.
Per le organizzazioni che non sono in grado di applicare immediatamente la patch, la revisione delle configurazioni del server per assicurarsi che il servlet predefinito non abbia autorizzazioni di scrittura abilitate può fornire una mitigazione temporanea, poiché questa condizione è necessaria per uno sfruttamento riuscito.
Nessun commento:
Posta un commento