CISA voegde een nieuwe kwetsbaarheid toe aan de Known Exploited Vulnerabilities Catalog. Het gaat om CVE-2025-24813, een path-equivalentiekwetsbaarheid in Apache Tomcat.
Dergelijke kwetsbaarheden worden vaak gebruikt door kwaadwillende cyberactoren. Dit vormt een aanzienlijk risico voor organisaties. Onderzoekers van GreyNoise meldden eerder dat criminelen CVE-2025-24813 actief misbruiken. De kritieke remote code execution-kwetsbaarheid treft verschillende versies van de software. De eerste tekenen van exploitatie werden gerapporteerd door cybersecurity-startup Wallarm op 17 maart, en wel nadat een proof-of-concept-exploit voor eenvoudige aanvallen verscheen op een Chinees forum.
Wereldwijde exploitatie is waarschijnlijk
Sommige onderzoekers en beveiligingsleveranciers wijzen erop dat succesvolle exploitatie van deze kwetsbaarheid een niet-standaard configuratie vereist die zeldzaam lijkt te zijn. GreyNoise heeft vier unieke IP-adressen waargenomen die probeerden CVE-2025-24813 te misbruiken en merkt op dat de aanvallen afkomstig waren van onervaren actoren die een proof-of-concept-exploit gebruikten.
Noah Stone, hoofd content bij GreyNoise Intelligence, meldde dat aanvallers een gedeeltelijke PUT-methode gebruiken om kwaadaardige payloads te injecteren, wat mogelijk leidt tot willekeurige code-uitvoering op kwetsbare systemen. Hij gaf aan dat ze hebben waargenomen dat 70 procent van de activiteit gericht is op Apache Tomcat-instanties in de Verenigde Staten, terwijl andere aanvallen servers in Japan, India, Zuid-Korea en Mexico troffen. Gezien de brede inzet van Apache Tomcat suggereren deze vroege aanvallen dat verdere exploitatie waarschijnlijk zal volgen.
Ook Cloudflare analyseerde de aanvallen. Volgens hun bevindingen bestond de meerderheid van de waargenomen aanvalspayloads uit kwetsbaarheidsprobes, bedoeld om te testen of een server kwetsbaar is. Ze benadrukken dat het succesvol uitvoeren van remote code execution op een kwetsbare Apache Tomcat-server een reeks specifieke voorwaarden vereist, zoals ondersteuning voor gedeeltelijke PUT-verzoeken en inzicht in de interne bestandsstructuur van de server.
Onervaren actoren
GreyNoise gaf aan dat het de telemetrie exploitatiepogingen vastlegt, maar niet of deze succesvol zijn. Hun onderzoek wijst uit dat de waargenomen payloads overeenkomen met publiek beschikbare proof-of-concept-code. Vooral onervaren actoren maken er gebruik van. Tot nu toe zijn er geen aanwijzingen voor een gecoördineerde of geavanceerde aanvalscampagne.