Lỗ hổng mới của Apache Tomcat cho phép thực thi mã từ xa (Đã có PoC)

[WhiteHat Team]

Một lỗ hổng bảo mật nghiêm trọng được định danh là CVE-2025-24813 vừa được phát hiện trong Apache Tomcat, ảnh hưởng tới nhiều phiên bản và có thể cho phép kẻ tấn công thực thi mã từ xa hoặc truy cập thông tin nhạy cảm (PoC đã được phát hành – nguy cơ khai thác cao).

Lỗ hổng này khai thác vấn đề tương đương đường dẫn (path equivalence) liên quan đến dấu chấm (dot) trong tên tệp, có thể bị lợi dụng trong những cấu hình máy chủ cụ thể.

Mã khai thác thử nghiệm (proof-of-concept) đã được công bố, làm gia tăng mức độ khẩn cấp đối với việc cập nhật hệ thống. Kẻ tấn công có thể lợi dụng lỗ hổng này theo nhiều cách khác nhau, tùy thuộc vào các điều kiện cấu hình cụ thể của máy chủ.

1. Tấn công tiết lộ thông tin và chèn nội dung độc hại

Nếu máy chủ:

• Cho phép ghi dữ liệu với servlet mặc định,
• Hỗ trợ partial PUT (mặc định bật),
• Và sử dụng các thư mục tải lên chồng lắp giữa dữ liệu công khai và dữ liệu nhạy cảm,

Thì kẻ tấn công có thể:

• Xem nội dung các tệp nhạy cảm (nếu đoán được tên tệp),
• Chèn nội dung tùy ý vào các tệp đang tải lên, từ đó gây ảnh hưởng tới tính toàn vẹn và bảo mật dữ liệu.

2. Thực thi mã từ xa – RCE

Đây là kịch bản nguy hiểm hơn nhiều, khi kẻ tấn công:

• Có quyền ghi dữ liệu như trên,
• Partial PUT vẫn được bật,
• Máy chủ sử dụng cơ chế lưu phiên làm việc (session persistence) theo mặc định của Tomcat,
• Và có thư viện dễ bị tấn công giải tuần tự (deserialization).

Khi đó, kẻ tấn công có thể thực thi mã tùy ý, chiếm quyền điều khiển hoàn toàn máy chủ từ xa, gây nguy cơ nghiêm trọng tới hệ thống.

Lỗ hổng CVE-2025-24813 ảnh hưởng tới ba nhánh phiên bản chính của Apache Tomcat:

• Tomcat 11.0.0-M1 đến 11.0.2
• Tomcat 10.1.0-M1 đến 10.1.34
• Tomcat 9.0.0.M1 đến 9.0.98 (phiên bản phổ biến nhất trong môi trường doanh nghiệp)

Điều này đồng nghĩa với việc rất nhiều tổ chức và doanh nghiệp đang vận hành các phiên bản có thể bị khai thác, đặc biệt trong bối cảnh Apache Tomcat là một trong những máy chủ ứng dụng web mã nguồn mở phổ biến nhất hiện nay.

Mặc dù Tomcat mặc định vô hiệu hóa ghi dữ liệu cho servlet mặc định, song thực tế triển khai tại doanh nghiệp thường thay đổi cấu hình để phục vụ nhu cầu thực tế. Trong nhiều trường hợp:

• Partial PUT vẫn bật,
• Ghi dữ liệu được mở cho thư mục tĩnh,
  => Tạo điều kiện lý tưởng cho tấn công nếu các bản vá chưa được áp dụng.

Đội ngũ phát triển Apache Tomcat đã phản hồi nhanh chóng và phát hành các bản vá tương ứng, các bản vá này xử lý toàn diện vấn đề tương đương đường dẫn và loại bỏ khả năng khai thác trong mọi kịch bản đã biết.:

• Tomcat 11.0.3
• Tomcat 10.1.35
• Tomcat 9.0.99

Các chuyên gia khuyến nghị:

• Cập nhật ngay lập tức lên phiên bản mới nhất theo nhánh đang sử dụng.
• Tắt hỗ trợ partial PUT nếu không cần thiết.
• Xác minh quyền ghi thư mục của servlet mặc định và các thư mục upload.
• Kiểm tra cơ chế lưu phiên (session persistence) và loại bỏ các thư viện có nguy cơ tấn công giải tuần tự (như commons-collections hoặc XStream) nếu không cần thiết.

CVE-2025-24813 cho thấy rằng một lỗi xử lý đường dẫn tưởng chừng đơn giản có thể mở ra hàng loạt phương pháp tấn công nghiêm trọng, từ tiết lộ thông tin đến chiếm quyền điều khiển toàn hệ thống. Trong bối cảnh mã khai thác đã được công bố, việc trì hoãn cập nhật có thể dẫn đến tổn thất lớn về bảo mật và uy tín. Các quản trị viên hệ thống và chuyên gia bảo mật nên hành động khẩn cấp để đảm bảo hạ tầng Tomcat luôn được cập nhật và cấu hình an toàn.

Theo Cyber Press​