A partir del 5 de junio, los analistas de la firma de ciberseguridad Greynoise detectaron dos campañas coordinadas que atacaban las interfaces de Apache Tomcat Manager. La primera de estas campañas involucró casi 300 direcciones IP maliciosas que intentaban obtener acceso a la herramienta expuesta y la segunda utilizó 250 IPs para apuntar a aplicaciones web de Tomcat Manager mediante ataques de fuerza bruta. Estos ataques permiten a los actores de amenazas probar automáticamente miles o millones de credenciales en un corto periodo.
Durante el pico de actividad, aproximadamente 400 IP únicas participaron en estos intentos de ataque. La mayoría de las actividades provenían de un número limitado de servicios específicos de Tomcat, con una parte significativa de los ataques orquestados a través de infraestructura alojada por Digitalocean. Greynoise advirtió que, aunque estos ataques no estaban relacionados con una vulnerabilidad específica de seguridad, subrayan el continuo interés de los atacantes en los servicios de Tomcat expuestos, presentando una posible advertencia de futuras explotaciones.
La firma recomendó a las organizaciones que tienen interfaces de Tomcat Manager expuestas en línea implementar restricciones de autenticación estrictas y asegurar el acceso adecuado. También sugirió revisar los registros de seguridad en busca de actividades sospechosas de inicio de sesión y bloquear rápidamente las direcciones IP involucradas en intentos de compromiso.
Si bien en estos ataques no se explotó una vulnerabilidad específica, es importante mencionar que Apache había lanzado soluciones de seguridad en marzo para abordar una vulnerabilidad de ejecución de código remoto (RCE), identificada como CVE-2025-24813. Esta vulnerabilidad había sido activamente explotada y permitía a los atacantes tomar control de servidores vulnerables con solicitudes simplificadas. Se sabe que los actores detrás de los ataques de fuerza bruta utilizaron pruebas de conceptos (POC) que se hicieron públicas en plataformas como GitHub solamente 30 horas después de que se revelara y corrigiera la vulnerabilidad.
Desde el lanzamiento de dicha corrección, Apache también tuvo que abordar otros defectos críticos de RCE, incluido CVE-2024-56337, que comprometía el parche para una segunda vulnerabilidad crítica (CVE-2024-50379) mitigada poco antes. Estas vulnerabilidades subrayan la importancia de mantener los sistemas actualizados y parcheados proactivamente.
El panorama de seguridad de las interfaces de gestión de Tomcat está en constante evolución. A medida que los atacantes se vuelven más sofisticados, las empresas deben estar cada vez más vigilantes para protegerse de las amenazas potenciales. La automatización y otros enfoques modernos de gestión de la seguridad pueden facilitar la mejora de las medidas de defensa, permitiendo a las organizaciones responder más rápidamente a estos riesgos emergentes.
Es fundamental que los administradores de sistemas no solo mantengan sus plataformas actualizadas, sino que también adopten una postura proactiva hacia la identificación y remediación de vulnerabilidades, garantizando que sus interfaces de gestión no queden expuestas a ataques injustificados.
Enlace de la fuente, haz clic para tener más información