Kritische Sicherheitslücke CVE-2025-24813 in Apache Tomcat

Die kürzlich bekannt gewordene Sicherheitslücke CVE-2025-24813 in Apache Tomcat hat innerhalb kürzester Zeit, nur 30 Stunden nach der öffentlichen Bekanntgabe, bereits zu aktiven Ausnutzungen in freier Wildbahn geführt. Die Schwachstelle CVE-2025-24813, die als kritisch eingestuft wird, betrifft mehrere Versionen von Apache Tomcat, darunter:

• Apache Tomcat 11.0.0-M1 bis 11.0.2
• Apache Tomcat 10.1.0-M1 bis 10.1.34
• Apache Tomcat 9.0.0-M1 bis 9.0.98

Die Sicherheitslücke CVE-2025-24813 kann zu einer Fernsteuerung des Codes oder zur Offenlegung von Informationen führen, wenn bestimmte Bedingungen erfüllt sind. Dazu gehören:

• Schreibzugriff für den Standard-Servlet (standardmäßig deaktiviert)
• Unterstützung für partielle PUT-Anfragen (standardmäßig aktiviert)
• Eine Ziel-URL für sicherheitsrelevante Uploads, die sich in einem Unterverzeichnis einer Ziel-URL für öffentliche Uploads befindet
• Kenntnis des Angreifers über die Namen der sicherheitsrelevanten Dateien, die hochgeladen werden
• Die sicherheitsrelevanten Dateien werden ebenfalls über partielle PUT-Anfragen hochgeladen

Eine erfolgreiche Ausnutzung dieser Sicherheitslücke CVE-2025-24813 könnte es einem böswilligen Benutzer ermöglichen, sicherheitsrelevante Dateien einzusehen oder beliebige Inhalte in diese Dateien durch einen PUT-Request einzufügen. Darüber hinaus könnte ein Angreifer Fernzugriff auf den Code erlangen, wenn alle folgenden Bedingungen erfüllt sind:

• Schreibzugriff für den Standard-Servlet (standardmäßig deaktiviert)
• Unterstützung für partielle PUT-Anfragen (standardmäßig aktiviert)
• Die Anwendung verwendet die dateibasierte Sitzungspersistenz von Tomcat mit dem Standard-Speicherort
• Die Anwendung enthält eine Bibliothek, die möglicherweise in einem Deserialisierungsangriff ausgenutzt werden kann

In einem kürzlich veröffentlichten Hinweis haben die Projektverantwortlichen bekannt gegeben, dass die Schwachstelle in den Tomcat-Versionen 9.0.99, 10.1.35 und 11.0.3 behoben wurde.

Besorgniserregend ist jedoch, dass die Schwachstelle bereits in der Wildnis ausgenutzt wird, wie Wallarm berichtet. „Dieser Angriff nutzt den Standard-Sitzungsspeichermechanismus von Tomcat zusammen mit der Unterstützung für partielle PUT-Anfragen aus“, erklärt das Unternehmen. „Der Exploit funktioniert in zwei Schritten: Der Angreifer lädt eine serialisierte Java-Sitzungsdatei über eine PUT-Anfrage hoch. Der Angreifer löst die Deserialisierung aus, indem er die bösartige Sitzungs-ID in einer GET-Anfrage referenziert.“

Um es anders auszudrücken, die Angriffe bestehen darin, eine PUT-Anfrage zu senden, die eine Base64-kodierte, serialisierte Java-Nutzlast enthält, die in das Sitzungsverzeichnis von Tomcat geschrieben wird. Diese wird anschließend während der Deserialisierung ausgeführt, indem eine GET-Anfrage mit der JSESSIONID gesendet wird, die auf die bösartige Sitzung verweist. Wallarm stellte auch fest, dass die Schwachstelle trivial auszunutzen ist und keine Authentifizierung erfordert. Die einzige Voraussetzung ist, dass Tomcat die dateibasierte Sitzungsablage verwendet.

Während dieser Exploit den Sitzungs-Speicher ausnutzt, ist das größere Problem die Handhabung von partiellen PUT-Anfragen in Tomcat, die das Hochladen praktisch jeder Datei an jedem Ort ermöglichen. „Angreifer werden bald beginnen, ihre Taktiken zu ändern, indem sie bösartige JSP-Dateien hochladen, Konfigurationen ändern und Hintertüren außerhalb des Sitzungs-Speichers anlegen“, fügte Wallarm hinzu.

Benutzer, die von den betroffenen Versionen von Tomcat betroffen sind, wird dringend geraten, ihre Instanzen so schnell wie möglich zu aktualisieren, um potenzielle Bedrohungen zu mindern.

Die Bedeutung von Sicherheitsupdates

Sicherheitsupdates sind ein entscheidender Bestandteil der IT-Sicherheit. Sie helfen dabei, bekannte Schwachstellen zu schließen und die Systeme vor potenziellen Angriffen zu schützen. In der heutigen digitalen Landschaft, in der Cyberangriffe immer raffinierter werden, ist es unerlässlich, dass Unternehmen ihre Software regelmäßig aktualisieren. Dies gilt insbesondere für weit verbreitete Software wie Apache Tomcat, die in vielen Webanwendungen und Diensten eingesetzt wird.

Die schnelle Ausnutzung dieser spezifischen Schwachstelle zeigt, wie wichtig es ist, Sicherheitsupdates zeitnah zu implementieren. Unternehmen, die dies versäumen, setzen sich einem erheblichen Risiko aus. Ein erfolgreicher Angriff kann nicht nur zu Datenverlust führen, sondern auch zu einem erheblichen Reputationsschaden und finanziellen Einbußen.

Die Rolle von Managed Service Providern

Managed Service Provider (MSPs) spielen eine entscheidende Rolle bei der Unterstützung von Unternehmen, die IT-Sicherheit zu gewährleisten. Sie bieten nicht nur regelmäßige Sicherheitsupdates an, sondern auch umfassende Sicherheitslösungen, die auf die spezifischen Bedürfnisse eines Unternehmens zugeschnitten sind. Durch die Zusammenarbeit mit einem MSP können Unternehmen sicherstellen, dass ihre Systeme immer auf dem neuesten Stand sind und potenzielle Sicherheitslücken schnell geschlossen werden.

Ein weiterer Vorteil der Zusammenarbeit mit einem MSP ist die Möglichkeit, von deren Fachwissen und Erfahrung zu profitieren. MSPs haben oft Zugang zu den neuesten Sicherheitstechnologien und -praktiken, die Unternehmen helfen können, ihre Sicherheitslage zu verbessern. Darüber hinaus können sie Schulungen und Schulungsressourcen bereitstellen, um das Bewusstsein für Sicherheitsbedrohungen innerhalb des Unternehmens zu schärfen.

Präventive Maßnahmen zur Vermeidung von Sicherheitsvorfällen

Neben der regelmäßigen Aktualisierung von Software gibt es weitere präventive Maßnahmen, die Unternehmen ergreifen können, um Sicherheitsvorfälle zu vermeiden. Dazu gehören:

• Sicherheitsbewusstseinsschulungen: Schulungen für Mitarbeiter sind entscheidend, um das Bewusstsein für Sicherheitsbedrohungen zu schärfen. Mitarbeiter sollten über die neuesten Bedrohungen informiert werden und wissen, wie sie potenzielle Angriffe erkennen können.
• Sicherheitsrichtlinien und -verfahren: Unternehmen sollten klare Sicherheitsrichtlinien und -verfahren festlegen, die den Umgang mit sensiblen Daten und die Reaktion auf Sicherheitsvorfälle regeln.
• Regelmäßige Sicherheitsüberprüfungen: Regelmäßige Sicherheitsüberprüfungen und Penetrationstests können helfen, Schwachstellen in den Systemen zu identifizieren und zu beheben, bevor sie ausgenutzt werden können.
• Einsatz von Sicherheitslösungen: Der Einsatz von Sicherheitslösungen wie Firewalls, Intrusion Detection Systems (IDS) und Antivirus-Software kann dazu beitragen, Systeme vor Bedrohungen zu schützen.
• Backup-Strategien: Regelmäßige Backups sind entscheidend, um Datenverlust im Falle eines Angriffs zu minimieren. Unternehmen sollten sicherstellen, dass sie über eine effektive Backup-Strategie verfügen, die regelmäßige Sicherungen und Wiederherstellungstests umfasst.

Die Zukunft der IT-Sicherheit

Die IT-Sicherheit wird in den kommenden Jahren weiterhin eine zentrale Rolle spielen. Mit der zunehmenden Digitalisierung und der Verbreitung von Cloud-Diensten wird die Angriffsfläche für Cyberkriminelle immer größer. Unternehmen müssen proaktiv handeln, um ihre Systeme zu schützen und sich gegen potenzielle Bedrohungen zu wappnen.

Die Zusammenarbeit mit Managed Service Providern wird für viele Unternehmen eine wichtige Strategie sein, um ihre Sicherheitslage zu verbessern. MSPs können nicht nur bei der Implementierung von Sicherheitslösungen helfen, sondern auch wertvolle Einblicke in die neuesten Bedrohungen und Trends in der IT-Sicherheit bieten.

Insgesamt ist es entscheidend, dass Unternehmen die Bedeutung von IT-Sicherheit erkennen und entsprechende Maßnahmen ergreifen, um ihre Systeme zu schützen. Die kürzlich entdeckte Schwachstelle in Apache Tomcat ist ein eindringlicher Hinweis darauf, wie schnell sich Bedrohungen entwickeln können und wie wichtig es ist, Sicherheitsupdates und -praktiken ernst zu nehmen.