Una vulnerabilidad crítica de ejecución remota de código (RCE) en Apache Tomcat, rastreada como CVE-2025-24813, está siendo explotada activamente en el mundo, permitiendo a los atacantes tomar el control de los servidores con una simple solicitud PUT.
Los hackers están utilizando exploits de prueba de concepto (PoC) publicados en GitHub solo 30 horas después de que la vulnerabilidad fuera divulgada públicamente la semana pasada.
El Mecanismo del Ataque
El ataque comienza cuando un atacante envía una solicitud PUT que contiene una carga útil Java serializada codificada en base64 al almacenamiento de sesiones de Tomcat.
Una vez cargado, el atacante envía una solicitud GET con una cookie JSESSIONID, apuntando al archivo de la sesión. Tomcat es engañado para deserializar y ejecutar el código Java malicioso, otorgando al atacante control total del servidor.
Lo que hace que esta vulnerabilidad sea aún más peligrosa es que no se requiere autenticación y el ataque es relativamente fácil de ejecutar.
La falla es especialmente potente cuando se utiliza almacenamiento de sesiones basado en archivos, que es común en muchas implementaciones de Apache Tomcat.
¿Por qué las Herramientas de Seguridad Tradicionales Fallan? ️
Las herramientas de seguridad tradicionales tienen dificultades para detectar esta explotación porque la solicitud PUT parece normal y el contenido malicioso está ofuscado mediante codificación en base64.
Esto dificulta que los filtros de seguridad identifiquen el ataque.
Versiones Afectadas
La vulnerabilidad afecta a las siguientes versiones de Apache Tomcat:
- Tomcat 11.0.0-M1 a 11.0.2
- Tomcat 10.1.0-M1 a 10.1.34
- Tomcat 9.0.0.M1 a 9.0.98
Apache emitió un boletín de seguridad, instando a los usuarios a actualizar a Tomcat 11.0.3+, 10.1.35+ o 9.0.99+, que han corregido la vulnerabilidad CVE-2025-24813.
Medidas de Mitigación ⚙️
Si bien actualizar a una versión corregida es la mejor opción, hay otras medidas que los usuarios pueden tomar para mitigar el riesgo:
- Revertir a la Configuración Predeterminada del Servlet (
readonly="true") - Desactivar el soporte de Partial PUT (que está habilitado por defecto)
- Evitar almacenar archivos sensibles de seguridad en subdirectorios de rutas públicas de carga.
Riesgos Futuros
Los investigadores de Wallarm advierten que aun en el futuro, los atacantes podrían subir archivos JSP maliciosos, modificar configuraciones y colocar puertas traseras fuera del almacenamiento de sesiones.
Como resultado, esta vulnerabilidad de RCE podría llevar a más explotaciones que apunten al manejo de Partial PUT de Apache Tomcat.
La situación destaca los crecientes riesgos que enfrentan los servidores web debido a vulnerabilidades en la forma en que manejan la gestión de sesiones y las cargas de archivos.
Se recomienda a los usuarios de Tomcat que tomen medidas inmediatas para mitigar el problema y evitar futuras explotaciones. ⚠️
Descubre más desde CIBERED
Suscríbete y recibe las últimas entradas en tu correo electrónico.