Vulnerabilidad Crítica en Apache Tomcat: CVE-2025-24813
Recientemente, se ha descubierto una vulnerabilidad crítica en Apache Tomcat, que permite la ejecución de código remoto (RCE) a través de su motor Servant. Identificada como CVE-2025-24813, esta vulnerabilidad ha sido catalogada como de alta gravedad debido a su facilidad de explotación. No se requiere autenticación para que un atacante acceda a la vulnerabilidad, lo que la convierte en un objetivo atractivo para potenciales cibercriminales.
Para explotar esta vulnerabilidad, un atacante solo necesita enviar una solicitud PUT a la API de Tomcat, lo que le permitiría modificar o reemplazar un objeto existente en la base de datos. Esto puede llevar al control total de los servidores que corren versiones vulnerables de Apache Tomcat. Un factor clave en esta vulnerabilidad es que el servidor Tomcat tenga configurado el almacenamiento de sesión basado en archivos, una práctica común en muchas instalaciones.
Los expertos en seguridad han señalado que las herramientas de detección convencionales son ineficaces para identificar ataques que utilizan esta vulnerabilidad, ya que las solicitudes PUT pueden parecer legítimas y no levantar sospechas. Además, el uso de codificación Base64 podría facilitar la evasión de filtros de seguridad tradicionales, ocultando así el contenido malicioso incluido en las solicitudes.
Aunque las instalaciones estándar de Apache Tomcat no deberían ser vulnerables, es crucial que las organizaciones revisen sus entornos de TI para asegurarse de no estar expuestas a este riesgo. Existen pruebas de concepto (POC) que demuestran cómo un atacante puede utilizar esta vulnerabilidad, y se ha confirmado que está siendo utilizada activamente en el medio.
Productos Afectados
Las versiones de Apache Tomcat que están en riesgo son:
- Apache Tomcat 11.0.0-m1 hasta 11.0.2
- Apache Tomcat 10.1.0-m1 hasta 10.1.34
- Apache Tomcat 9.0.0.m1 hasta 9.0.98
Dado que la explotación de esta vulnerabilidad puede tener consecuencias graves, las organizaciones deben actuar rápidamente.
Recomendaciones de Seguridad
El CERT-SE aconseja a todas las instituciones que revisen sus instalaciones para verificar si están utilizando una versión vulnerable de Apache Tomcat. En caso de que se confirme la vulnerabilidad, se recomienda aplicar los parches proporcionados por el proveedor de forma inmediata, siguiendo las instrucciones específicas para cada versión del software. Es crucial priorizar la seguridad y actuar con rapidez para mitigar cualquier posible ataque.
Para más detalles, las organizaciones pueden consultar las fuentes proporcionadas, donde se ofrece información adicional sobre la vulnerabilidad específica y las medidas de mitigación:
- Apache Software Foundation – Anuncio oficial sobre la vulnerabilidad.
- Wallarm Labs – Análisis detallado sobre cómo explotar la vulnerabilidad.
- ISC SANS – Información complementaria en formato de podcast.
En resumen, la vulnerabilidad CVE-2025-24813 en Apache Tomcat representa una amenaza seria, dada su facilidad de explotación y la falta de detección eficiente por parte de las herramientas de seguridad actuales. Las organizaciones deben asegurarse de estar al tanto de esta situación y tomar medidas prontas para proteger sus sistemas de posibles ataques.