Son günlerde siber güvenlik dünyasında büyük yankı uyandıran bir güvenlik açığı, Apache Tomcat kullanıcılarını doğrudan tehdit ediyor. Kamuya duyurulmasının ardından sadece 30 saat içinde saldırganlar tarafından aktif şekilde istismar edilmeye başlanan bu açık, özellikle web güvenliği açısından büyük bir risk teşkil ediyor.
CVE-2025-24813 Güvenlik Açığının Detayları
Söz konusu güvenlik açığı, CVE-2025-24813 olarak takip ediliyor ve şu sürümleri etkiliyor:
- Apache Tomcat 11.0.0-M1 ile 11.0.2 arasındaki sürümler
- Apache Tomcat 10.1.0-M1 ile 10.1.34 arasındaki sürümler
- Apache Tomcat 9.0.0-M1 ile 9.0.98 arasındaki sürümler
Bu güvenlik açığı, belirli koşullar sağlandığında uzaktan kod çalıştırma (RCE) veya hassas bilgilerinin ifşasına neden olabiliyor. Saldırının gerçekleşmesi için aşağıdaki koşulların yerine gelmesi gerekiyor:
- Varsayılan servlet için yazma yetkisinin etkin olması (varsayılan olarak devre dışıdır)
- Kısmi PUT desteğinin etkin olması (varsayılan olarak etkindir)
- Hassas güvenlik dosyalarının, genel yüklemelerle aynı dizin altında yer alması
- Saldırganın güvenlik açısından hassas dosya adlarını biliyor olması
- Dosyaların kısmi PUT yöntemiyle yüklenmesi
Başarılı bir saldırı, kötü niyetli kişilerin güvenli dosyaları görüntülemesine veya PUT isteği yoluyla bu dosyalara kötü amaçlı içerik enjekte etmesine olanak tanıyabilir. Daha da tehlikelisi, belirli ek koşulların sağlanması halinde uzaktan kod çalıştırma (RCE) mümkün hale gelebilir:
- Varsayılan servlet için yazma yetkisinin açık olması
- Kısmi PUT desteğinin açık olması
- Uygulamanın Tomcat’in dosya tabanlı oturum kalıcılığını kullanması
- Uygulamanın, deserialization saldırılarında kullanılabilecek bir kütüphane içermesi
Saldırı Yöntemi ve Riskler
Güvenlik araştırmaları, saldırganların bu açığı iki adımda kullandığını ortaya koydu. İlk olarak, PUT isteği ile Base64 şifrelenmiş kötü amaçlı bir Java oturum dosyası Tomcat’in oturum depolama dizinine yazılıyor. Ardından, saldırgan bir GET isteği yaparak zararlı oturumu çalıştırıyor.
Siber güvenlik şirketi Wallarm’a göre, bu açık özellikle savunmasız sistemlerde büyük tehdit oluşturuyor. Ayrıca, saldırının herhangi bir kimlik doğrulama gerektirmemesi, istismar edilmesini son derece kolay hale getiriyor. Uzmanlar, saldırganların yalnızca oturum depolama alanını değil, genel sistem yapılandırmalarını değiştirebilecekleri veya arka kapılar yerleştirebilecekleri konusunda uyarıyor.
Güvenlik Önlemleri ve Öneriler
Tomcat geliştiricileri, bu güvenlik açığını gidermek için aşağıdaki güncellemeleri yayımladı:
- Tomcat 9.0.99
- Tomcat 10.1.35
- Tomcat 11.0.3
Kullanıcıların, etkilenen sürümleri en kısa sürede güncellemeleri ve sistemlerini saldırılara karşı korumaları tavsiye ediliyor. Ayrıca, kısmi PUT desteğini devre dışı bırakmak ve varsayılan servlet için yazma iznini sınırlandırmak da ek güvenlik önlemleri arasında yer alıyor.
Bu tür güvenlik açıkları, özellikle kritik altyapılarda kullanılan web sunucuları için büyük bir tehdit oluşturuyor. Apache Tomcat kullanıcılarının en güncel sürümleri takip ederek sistemlerini koruma altına almaları, olası siber saldırılara karşı en etkili savunma yöntemi olacaktır.
