Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

CVE-2025-24813: Lỗ hổng nghiêm trọng trong Apache Tomcat - thực thi mã từ xa (RCE). Cập nhật bản vá ngay lập tức

Updated
5 min read
CVE-2025-24813: Lỗ hổng nghiêm trọng trong Apache Tomcat - thực thi mã từ xa (RCE). Cập nhật bản vá ngay lập tức
L
Lưu Tuấn Anh

Giới thiệu

Một lỗ hổng nghiêm trọng, được định danh là CVE-2025-24813, đã được phát hiện trong Apache Tomcat. Lỗ hổng này có khả năng cho phép kẻ tấn công thực thi mã từ xa (Remote Code Execution – RCE), tiết lộ thông tin nhạy cảm hoặc làm hỏng dữ liệu. Tổ chức Apache Software Foundation đã đưa ra một khuyến cáo bảo mật khẩn cấp, kêu gọi người dùng các phiên bản bị ảnh hưởng cập nhật ngay lập tức

Lỗ hổng xuất phát từ việc Tomcat xử lý không chính xác các đường dẫn tệp chứa dấu chấm nội bộ, dẫn đến khả năng thực thi mã từ xa, tiết lộ thông tin hoặc làm hỏng dữ liệu. Kẻ tấn công có thể tải lên một “Java session file” độc hại thông qua yêu cầu PUT, sau đó kích hoạt dẫn đến thực thi mã trên máy chủ.

Các phiên bản bị ảnh hưởng

  • Phiên bản Tomcat từ 9.0.0.M1 đến 9.0.98

  • Phiên bản Tomcat từ 10.1.0-M1 đến 10.1.34

  • Phiên bản Tomcat từ 11.0.0-M1 đến 11.0.2

Mô tả lỗ hổng

  • Mã lỗ hổng: CVE-2025-2483

  • Điểm CVSS: 8.6/10, cho thấy mức độ nghiêm trọng cao.

  • Cơ chế tấn công: Lỗ hổng này có khả năng cho phép kẻ tấn công thực thi mã từ xa (Remote Code Execution – RCE), tiết lộ thông tin nhạy cảm hoặc làm hỏng dữ liệu.

  • Hậu quả:

    • Rò rỉ thông tin và hỏng dữ liệu: Kẻ tấn công có thể xem các tệp nhạy cảm hoặc chèn nội dung độc hại vào các tệp đó

    • Thực thi mã từ xa (RCE)

Luồng hoạt động

Lỗ hổng này lợi dụng các phiên xử lý mặc địch của Tomcat và những kẻ tấn công đã thực hiện khai thác thông qua hai bước cơ bản:

  1. Kẻ tấn công sẽ tải lên một “Serialized Java session“ thông qua yêu cầu PUT

  2. Kẻ tấn công lợi dụng ID phiên độc hại để gửi các yêu cầu Request tới máy nạn nhân

Chi tiết cách thực hiện

Bước 1: Upload Session độc hại

  • Ban đầu những kẻ tấn công sẽ thực hiện tiến hành kiểm tra xem Tomcat có lưu session không

    • Kẻ tấn công sẽ thực hiện truy cập context.xml và tìm PersistentManager

  • Nếu có, session có thể bị lưu và phục hồi sau khi Tomcat khởi động lại

  • Bước tiếp theo kẻ tấn công sẽ thực hiện tạo payload serialized độc hại

    • Sử dụng ysoserial để tạo một session độc hại:

    • Sử dụng reverse shell:

  • Bước tiếp theo những kẻ tấn công sẽ thực hiện tải lên một Session độc hại. Để thực hiện Upload sẽ có ba cách chính để tải session vào Tomcat:

    • Tấn công ghi tệp qua lỗ hổng file upload: Nếu ứng dụng có tính năng upload file, kẻ tấn công có thể tải lên session.ser vào thư mục /work/Catalina/localhost/.

    • Tấn công PUT Request (nếu bị cấu hình sai):

    • Lợi dụng CVE-2025-24813 hoặc các lỗ hổng tương tự: Nếu Tomcat xử lý sai đường dẫn tệp, kẻ tấn công có thể ghi session file vào thư mục được sử dụng để phục hồi session.

Bước 2: Thực hiện kích hoạt Session độc hại

  • Khi tệp phiên được tải lên, kẻ tấn công sẽ kích hoạt quá trình giải phóng bằng cách gửi một yêu cầu GET đơn giản với jsessionid trỏ đến phiên độc hại.

  • Sau đó khi Tomcat nhìn thấy ID phiên này nó sẽ lấy tệp được lưu trữ và thực thi mã Java nhúng, cấp quyền truy cập từ xa đầy đủ cho kẻ tấn công.

Biện pháp khắc phục

  1. Cập nhật Apache Tomcat lên phiên bản mới nhất: Lỗ hổng này đã được khắc phục trong các phiên bản Tomcat 11.0.3, 10.1.35 và 9.0.98. Việc nâng cấp lên các phiên bản này sẽ giúp loại bỏ nguy cơ bị tấn công thông qua lỗ hổng này.

  2. Kiểm tra và cấu hình lại các thiết lập bảo mật:

    • Vô hiệu hóa phương thức HTTP không cần thiết: Nếu ứng dụng của bạn không sử dụng phương thức PUT, hãy vô hiệu hóa nó để giảm bề mặt tấn công.

    • Hạn chế quyền truy cập vào các thư mục nhạy cảm: Đảm bảo rằng chỉ những người dùng hoặc dịch vụ cần thiết mới có quyền truy cập ghi vào các thư mục quan trọng.

  3. Giám sát và kiểm tra hệ thống thường xuyên: Theo dõi các tệp nhật ký và hoạt động của hệ thống để phát hiện sớm các dấu hiệu bất thường hoặc cố gắng tấn công.

  4. Áp dụng các biện pháp bảo mật bổ sung:

    • Sử dụng tường lửa ứng dụng web (WAF): WAF có thể giúp chặn các yêu cầu độc hại trước khi chúng đến máy chủ của bạn.

    • Thực hiện kiểm tra bảo mật định kỳ: Đánh giá bảo mật thường xuyên sẽ giúp phát hiện và khắc phục kịp thời các lỗ hổng mới.

Kết luận

"Uploading a Malicious Serialized Session" là một kỹ thuật tấn công phổ biến nếu ứng dụng Tomcat không được cấu hình an toàn. Kẻ tấn công có thể lợi dụng việc Tomcat lưu trữ và giải tuần tự hóa session để thực thi mã từ xa. Cách tốt nhất để phòng chống là vô hiệu hóa session serialization, lọc đầu vào và sử dụng cơ chế lưu trữ session an toàn hơn.

Tham khảo

  1. CVE-2025-24813 Flaw in Apache Tomcat Exposes Servers to RCE, Data Leaks: Update Immediately

  2. One PUT Request to Own Tomcat: CVE-2025-24813 RCE is in the Wild - API Security

#cve#apache#rce

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.