image

VS meldt actief misbruik van kritiek beveiligingslek in Apache Tomcat

woensdag 2 april 2025, 09:39 door Redactie, 3 reacties

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid waardoor Apache Tomcat-webservers zijn over te nemen, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het beveiligingslek werd op 10 februari met het uitkomen van Apache Tomcat 11.0.3 verholpen. Het bestaan van de kwetsbaarheid (CVE-2025-24813) werd echter een maand later op 10 maart bekendgemaakt.

Wanneer de Tomcat-installatie aan bepaalde voorwaarden voldoet is remote code execution mogelijk. Een van de voorwaarden is 'writes enabled for the default servlet', een optie die standaard staat uitgeschakeld. Kort na de bekendmaking van de kwetsbaarheid verscheen er exploitcode op internet. Het Amerikaanse cyberagentschap CISA laat nu weten dat aanvallers actief misbruik van het beveiligingslek maken.

Details over deze aanvallen zijn niet door het cyberagentschap gegeven. Amerikaanse overheidsinstanties zijn door het CISA opgedragen om de updates voor het Tomcat-lek voor 22 april te installeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Reacties (3)
Gisteren, 12:51 door Anoniem
Aanvallers maken actief misbruik van een kritieke kwetsbaarheid waardoor Apache Tomcat-webservers zijn over te nemen
Dat is zeker niet waar onder Linux omdat Tomcat niet draait met root rechten. Onder windows weet ik het niet.
Gisteren, 13:03 door Anoniem
Door Anoniem:
Aanvallers maken actief misbruik van een kritieke kwetsbaarheid waardoor Apache Tomcat-webservers zijn over te nemen
Dat is zeker niet waar onder Linux omdat Tomcat niet draait met root rechten. Onder windows weet ik het niet.

Een niet root-gebruiker kan prima commando's uitvoeren toch? Een webserver is wat anders dan het onderliggende OS natuurlijk: er staat niet dat het onderliggende OS over te nemen is (wat op zich als je tomcat als root draait wel stuk eenvoudiger is dan).
Gisteren, 16:07 door Anoniem
Door Anoniem:
Door Anoniem:
Aanvallers maken actief misbruik van een kritieke kwetsbaarheid waardoor Apache Tomcat-webservers zijn over te nemen
Dat is zeker niet waar onder Linux omdat Tomcat niet draait met root rechten. Onder windows weet ik het niet.

Een niet root-gebruiker kan prima commando's uitvoeren toch? Een webserver is wat anders dan het onderliggende OS natuurlijk: er staat niet dat het onderliggende OS over te nemen is (wat op zich als je tomcat als root draait wel stuk eenvoudiger is dan).
Lezen is een kunst blijkbaar weer. Er staat wel, en ik heb het nog dikgedrukt geciteerd ook, dat er servers overgenomen kunnen worden, anders stond er wel web-services. Onder Linux is de user van het niveau nobody ( tomcat user) Een niet root gebruiker kan geen systeem overnemen!
Onder windows is het best erg bij een default instelling:
The Windows installer for Apache Tomcat defaults to a blank password for the administrative user. If this is not changed during the install process, then by default a user is created with the name admin, roles admin and manager and a blank password.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.