295 địa chỉ IP độc hại tấn công brute-force vào Apache Tomcat Manager

[WhiteHat Team]

Các chuyên gia vừa cảnh báo về một chiến dịch tấn công brute-force quy mô lớn có tổ chức nhắm vào các giao diện quản trị Apache Tomcat Manager.

​

Theo cơ quan tình báo GreyNoise, vào ngày 5/6/2025, hệ thống đã ghi nhận sự gia tăng đột biến các hành vi đăng nhập trái phép và brute-force, cho thấy đây có thể là những nỗ lực có chủ đích nhằm quét và truy cập hàng loạt các dịch vụ Tomcat đang phơi nhiễm trên Internet.

Tổng cộng có 295 địa chỉ IP không trùng lặp được xác định tham gia tấn công brute-force vào Tomcat Manager chỉ trong ngày 5/6, tất cả đều được phân loại là độc hại (malicious).

Trong vòng 24 giờ gần nhất, có thêm 188 địa chỉ IP không trùng lặp được ghi nhận, phần lớn đến từ Mỹ, Anh, Đức, Hà Lan và Singapore. Một hoạt động tương tự cũng ghi nhận 298 IP đăng nhập trái phép, trong đó 246 IP được gắn cờ là độc hại đến từ các nhóm quốc gia nêu trên.

Các quốc gia bị nhắm đến gồm:​

• Mỹ
• Anh
• Tây Ban Nha
• Đức
• Ấn Độ
• Brazil

Phần lớn lưu lượng tấn công xuất phát từ cơ sở hạ tầng của DigitalOcean (ASN 14061). Mặc dù các cuộc tấn công này không liên quan đến lỗ hổng cụ thể, nhưng chúng phản ánh việc hacker nhắm vào các dịch vụ Tomcat ngày càng gia tăng. Đây có thể là dấu hiệu cho thấy các cuộc khai thác nguy hiểm đang diễn ra trong tương lai.

Khuyến cáo cho các tổ chức và doanh nghiệp:​

• Triển khai cơ chế xác thực đa yếu tố (MFA) cho giao diện quản trị Tomcat Manager nhằm tăng cường lớp bảo vệ chống truy cập trái phép.
• Hạn chế quyền truy cập chỉ cho các địa chỉ IP tin cậy bằng cách áp dụng danh sách cho phép (IP allowlist) và các quy tắc kiểm soát truy cập mạng.
• Giám sát liên tục các hành vi bất thường, bao gồm đăng nhập thất bại, quét cổng và lưu lượng trái phép để phát hiện sớm các dấu hiệu xâm nhập hoặc khai thác.

Theo The Hacker News​