Alerta crítico

Falha crítica permite ataques RCE no Apache Tomcat

Uma vulnerabilidade crítica no Apache Tomcat (CVE-2025-24813) está sendo explorada ativamente, permitindo execução remota de código sem autenticação. Atualizações e medidas de mitigação são recomendadas.

17/03/2025 14:00

Uma vulnerabilidade crítica de execução remota de código (RCE) no Apache Tomcat, identificada como CVE-2025-24813, está sendo explorada ativamente por cibercriminosos. Essa falha permite que invasores assumam o controle de servidores comprometidos por meio de uma simples solicitação PUT, sem necessidade de autenticação.

Nova falha RCE no Apache Tomcat permite ataques sem autenticação

De acordo com pesquisadores da Wallarm, cibercriminosos estão utilizando exploits de prova de conceito (PoC) divulgados no GitHub apenas 30 horas após a revelação da vulnerabilidade. O ataque se aproveita de solicitações PUT aparentemente inofensivas, mas que contêm código malicioso ocultado em base64, tornando a detecção pelas ferramentas tradicionais de segurança extremamente difícil.

O método explorado pelos atacantes consiste em:

Enviar uma solicitação PUT com uma carga Java serializada e codificada em base64 para o armazenamento de sessão do Tomcat.
Posteriormente, enviar uma solicitação GET com um cookie JSESSIONID apontando para o arquivo carregado.
Isso leva o Tomcat a desserializar e executar o código malicioso, concedendo controle total ao invasor.

Esse ataque é possível devido à aceitação de solicitações PUT parciais e à configuração padrão de persistência de sessão do Tomcat.

Versões afetadas e recomendações

O Apache Tomcat confirmou que a vulnerabilidade afeta as seguintes versões:

11.0.0-M1 até 11.0.2
10.1.0-M1 até 10.1.34
9.0.0.M1 até 9.0.98

Para mitigar o problema, é recomendável que os usuários atualizem imediatamente para as versões corrigidas:

11.0.3+
10.1.35+
9.0.99+

Além disso, outras medidas de segurança podem ser implementadas para reduzir os riscos:

Reverter para a configuração padrão do servlet (readonly=”true”).
Desativar o suporte a solicitações PUT parciais.
Evitar armazenar arquivos sensíveis à segurança em subdiretórios de caminhos de upload públicos.

Previsão de novos ataques

A Wallarm alerta que, além da exploração atual, os atacantes podem desenvolver novos métodos para explorar a falha, como:

Carregamento de arquivos JSP maliciosos.
Modificação de configurações do servidor.
Instalação de backdoors fora do armazenamento de sessão.

Com isso, especialistas recomendam monitoramento constante e aplicação imediata das atualizações para evitar comprometimentos.

Conclusão

A falha CVE-2025-24813 representa uma ameaça séria para servidores que utilizam o Apache Tomcat. A rapidez com que os exploits foram divulgados e estão sendo usados por atacantes demonstra a necessidade de ação imediata para proteção contra esse tipo de vulnerabilidade. Atualizar para as versões corrigidas e implementar medidas de segurança adicionais são passos essenciais para manter a integridade dos sistemas.

Jardeson Márcio

Mais Notícias

Mais artigos

Ameaça cibernética

Falha crítica no Ivanti Connect Secure é explorada para disseminar malware avançado

Uma vulnerabilidade crítica (CVE-2025-22457) no Ivanti Connect Secure está sendo explorada para distribuir os malwares TRAILBLAZE e BRUSHFIRE. A falha permite execução remota de código, comprometendo a segurança dos dispositivos afetados.

Logotipo do GitHub em destaque, cercado por um fundo escuro com linhas coloridas em movimento, representando a inovação tecnológica e a dinâmica do desenvolvimento de software.

Segurança digital

GitHub reforça segurança após vazamento massivo de segredos

O GitHub aprimorou sua plataforma Advanced Security após detectar 39 milhões de segredos expostos em repositórios em 2024. As novas medidas incluem detecção avançada por IA, avaliações gratuitas e maior controle de proteção para evitar vazamentos de credenciais.

Segurança cibernética

Google corrige falha no Cloud Run que permitia acesso não autorizado a contêineres

O Google corrigiu uma vulnerabilidade no Cloud Run que permitia que invasores acessassem imagens de contêineres e injetassem código malicioso. A falha, chamada de ImageRunner, foi resolvida em janeiro de 2025, garantindo maior segurança no Google Cloud Platform.

configuracoes-confidenciais-de-wi-fi-nao-podem-ser-excluidos-de-impressoras-jato-de-tinta-canon

Falha crítica

Microsoft alerta sobre falha grave em drivers de impressora Canon

A Microsoft identificou uma vulnerabilidade crítica (CVE-2025-1268) nos drivers de impressoras Canon que pode permitir execução remota de código. A Canon já lançou correções e recomenda a atualização imediata dos drivers para mitigar riscos.

Segurança digital

Hackers exploram plugins ocultos do WordPress para espalhar malware

Hackers estão abusando do diretório mu-plugins do WordPress para esconder malware, redirecionar usuários e manipular SEO. Veja como proteger seu site.

cloudflare-diz-que-recente-interrupcao-esta-ligada-ao-incidente-de-sequestro-de-bgp

Falha crítica

Cloudflare R2: erro na rotação de credenciais causou falha global

O Cloudflare R2 sofreu uma interrupção global de 1 hora e 7 minutos devido a um erro na rotação de credenciais. A falha impactou gravação e leitura, afetando serviços dependentes. A Cloudflare implementou medidas para evitar novos incidentes.