Alerta de Seguridad Cibernética sobre Apache Tomcat (Número: AL25-002)
Fecha de Publicación: 19 de marzo de 2025
Destinatarios: Profesionales y gerentes de TI
Objetivo de la Alerta:
El objetivo de esta alerta es informar sobre una vulnerabilidad cibernética crítica (CVE-2025-24813) recientemente identificada en el servidor web Apache Tomcat. Además, proporciona recomendaciones para la detección y mitigación de la amenaza, así como la disponibilidad del Centro Canadiense de Seguridad Cibernética para brindar asistencia adicional.
Detalles de la Vulnerabilidad:
El 10 de marzo de 2025, Apache emitió un aviso de seguridad al identificar un defecto que afecta las siguientes versiones de Apache Tomcat:
- Versiones 11.0.0-m1 a 11.0.2
- Versiones 10.1.0-m1 a 10.1.34
- Versiones 9.0.0.m1 a 9.0.98
Esta vulnerabilidad permite a un atacante ver o insertar contenido en archivos sensibles a la seguridad o incluso ejecutar código de manera remota. Importante destacar que este exploit no requiere autenticación, lo que aumenta su peligrosidad. La causa principal radica en cómo Tomcat maneja las solicitudes de carga (PUT) parciales y su configuración de gestión de sesiones.
Condiciones para el Ataque:
Para que un atacante pueda explotar esta vulnerabilidad, se requieren ciertas condiciones:
- Escrituras habilitadas en el servlet predeterminado (generalmente desactivado).
- Soporte para PUT parcial (habilitado por defecto).
- La URL objetivo debe ser un subdirectorio de una URL pública.
- Conocimiento de los nombres de archivos sensibles.
- Uso de PUT parcial para cargar archivos sensibles.
Para lograr la ejecución de código remoto, se necesita adicionalmente que:
- Se mantengan las configuraciones de escritura habilitadas y soporte para PUT parcial.
- La sesión basada en archivos de Tomcat esté utilizando la ubicación de almacenamiento predeterminada.
- La aplicación afectada incluya bibliotecas susceptibles de ataques de deserialización.
Respuesta del Cyber Center:
En respuesta a la vulnerabilidad reportada, el Cyber Center emitió el Advisory AV25-127 el mismo día de la publicación del aviso de seguridad.
Acciones Sugeridas:
Las organizaciones deben tomar medidas inmediatas para evaluar su exposición a esta amenaza. Se recomienda:
- Revisar configuraciones y determinar el riesgo, identificando si se están utilizando versiones vulnerables de Apache Tomcat.
-
Actualizar a las versiones seguras de Apache Tomcat que son:
- 11.0.3 o posterior
- 10.1.35 o posterior
- 9.0.99 o posterior
- Implementar las 10 principales acciones de seguridad recomendadas por el Cyber Center, con énfasis en:
- Monitoreo y defensa de las puertas de enlace de Internet.
- Parcheo de sistemas operativos y aplicaciones.
- Aislamiento de aplicaciones orientadas a la web.
- Fortalecimiento de sistemas y aplicaciones operativas.
Además, se debe determinar si ha habido alguna actividad maliciosa en sistemas potencialmente afectados por esta vulnerabilidad. En tal caso, se alienta a reportar la actividad a través del portal cibernético o por correo electrónico a contact@cyber.gc.ca.
Referencias:
- Aviso de seguridad de Apache sobre CVE-2025-24813
- Detalles sobre el exploit RCE crítico en Apache Tomcat.
- Guía sobre las 10 acciones de seguridad esenciales para proteger redes conectadas a Internet.
Este aviso destaca la importancia de una rápida respuesta y una proactiva gestión de la ciberseguridad en las organizaciones que utilizan Apache Tomcat para evitar posibles compromisos de seguridad.