Lỗ hổng trong Apache Tomcat và Camel dẫn đến làn sóng tấn công trên toàn cầu

[Kaya]

Hai nền tảng quan trọng trong hệ sinh thái Java – Apache Tomcat và Apache Camel bị phát hiện tồn tại nhiều lỗ hổng bảo mật. Ngay sau khi các chi tiết kỹ thuật được công bố, hàng loạt chiến dịch dò quét và khai thác tự động đã diễn ra trên diện rộng, khiến các tổ chức doanh nghiệp và cơ quan chính phủ đối mặt với nguy cơ bị tấn công từ xa.

Theo các chuyên gia, chỉ trong chưa đầy một tháng, đã ghi nhận hơn 125.000 lượt dò quét tìm và khai thác nhắm vào các hệ thống sử dụng Tomcat và Camel đến từ hơn 70 quốc gia.​

CVE-2025-24813 – Lỗ hổng RCE trong Apache Tomcat​

• Phạm vi ảnh hưởng: Tomcat từ phiên bản 9.0.0.M1 đến 9.0.98, 10.1.0-M1 đến 10.1.34 và 11.0.0-M1 đến 11.0.2.​
• Nguyên nhân: Lỗi trong cách xử lý HTTP PUT và chức năng ghi dữ liệu khi readonly=false, đặc biệt khi cấu hình sai cho phép ghi vào thư mục tùy ý và bật session persistence.​
• Cách khai thác:
  • Giai đoạn 1: Kẻ tấn công gửi yêu cầu HTTP PUT chứa payload đã được tuần tự hóa (serialized).​
  • Giai đoạn 2: Gửi yêu cầu GET kèm cookie JSESSIONID bị giả mạo để kích hoạt giải tuần tự và thực thi mã độc.​
• Tình hình thực tế: Đã xuất hiện các mã khai thác công khai (PoC) và bị lạm dụng bởi công cụ quét tự động như Nuclei, thể hiện qua mẫu tên session và header đặc trưng.​

CVE-2025-27636 và CVE-2025-29891 – Lỗ hổng RCE trong Apache Camel​

• Phạm vi ảnh hưởng: Camel từ 3.10.0 đến 3.22.3, 4.8.0 đến 4.8.4 và 4.10.0 đến 4.10.1.​
• Nguyên nhân: Hệ thống lọc HTTP headers trong Camel phân biệt chữ hoa – chữ thường, khiến các header như CAmelExecCommandExecutable có thể vượt qua kiểm tra và gây thực thi lệnh tùy ý.​
• Rủi ro đặc biệt: Ảnh hưởng nghiêm trọng đến các doanh nghiệp sử dụng route tích hợp linh động hoặc nhận dữ liệu từ nguồn bên ngoài, vì tấn công có thể dẫn đến thực thi mã hoặc thiết lập reverse shell ngay trên hệ thống backend.​
• Dấu hiệu bị khai thác: Ghi nhận các payload liên hệ tới máy chủ điều khiển (C2) hoặc tạo kết nối shell ra ngoài.​

Những lỗ hổng này đặc biệt nguy hiểm vì:​

• Có thể khai thác từ xa mà không cần xác thực.​
• Mã khai thác có sẵn công khai, ngay cả những đối tượng không có chuyên môn sâu cũng có thể sử dụng.​
• Dễ tích hợp vào công cụ quét hàng loạt, khiến quy mô tấn công lan nhanh toàn cầu.​
• Tấn công không chỉ dừng lại ở chiếm quyền điều khiển máy chủ, mà còn có thể được dùng làm bàn đạp để:​
• Cài mã độc hoặc mã ransomware vào hệ thống.​
• Truy cập vào dữ liệu nhạy cảm trong ứng dụng Java hoặc các tích hợp nội bộ.​
• Thiết lập điểm kiểm soát lâu dài thông qua kết nối C2 ngầm.​

Các chuyên gia bảo mật khuyến cáo các tổ chức cần:​

1. Cập nhật ngay bản vá bảo mật:​

• Tomcat: cập nhật lên bản mới nhất (sau 9.0.98, 10.1.34, 11.0.2).​
• Camel: cập nhật vượt ngoài các bản bị ảnh hưởng.​

2. Kiểm tra cấu hình Tomcat:​

• Đảm bảo không bật readonly=false một cách không cần thiết.​
• Vô hiệu hóa ghi dữ liệu vào thư mục không tin cậy.​

3. Giám sát lưu lượng HTTP bất thường, đặc biệt là:​

• Yêu cầu PUT đáng ngờ.​
• Header lạ như CAmelExecCommand*.​
• Cookie JSESSIONID giả mạo.​

4. Sử dụng công cụ bảo vệ nâng cao:​

• Firewall thế hệ mới có ATP (Advanced Threat Prevention), URL Filtering, DNS Security.​
• Sử dụng Cortex Xpanse hoặc XSIAM để phát hiện tài sản dễ bị tổn thương.​
• Chủ động liên hệ đội phản ứng sự cố nếu nghi ngờ đã bị xâm nhập.​

Các thành phần mã nguồn mở phổ biến như Apache luôn là đích ngắm của kẻ tấn công. Dù bản thân phần mềm miễn phí và linh hoạt, nhưng chỉ cần một cấu hình sai hoặc update bản vá chậm, cả hệ thống có thể trở thành nạn nhân.

Các tổ chức không chỉ cần vá lỗi mà còn phải chủ động rà soát toàn bộ kiến trúc bảo mật, từ quyền ghi thư mục đến quy trình kiểm soát đầu vào trong hệ thống tích hợp.​

Theo WhiteHat.vn​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview