Las vulnerabilidades críticas en Apache Tomcat y Apache Camel están siendo explotadas activamente por los cibercriminales de todo el mundo, con investigadores de seguridad que documentan más de 125,000 intentos de ataque en más de 70 países desde su divulgación en marzo de 2025.
Las tres vulnerabilidades, CVE-2025-24813 que afectan a Apache Tomcat y CVE-2025-27636 y CVE-2025-29891 impactando la ejecución de código remoto de Apache Camel y plantean riesgos significativos para las organizaciones que ejecutan estas plataformas basadas en Java ampliamente de forma amplia.
Apache Tomcat, la popular plataforma de servidor web que habilita las aplicaciones web basadas en Java, es vulnerable a través de CVE-2025-24813, que afecta las versiones 9.0.0.m1 a 9.0.98, 10.1.0-m1 a 10.1.34 y 11.0.0-m1 a 11.0.2.
La falla explota la funcionalidad de Put Parcial de Tomcat combinada con las características de persistencia de la sesión, lo que permite a los atacantes manipular archivos de sesión serializados y lograr la ejecución de código arbitrario.
Apache Camel, un marco de integración para conectar diversos sistemas, sufre de dos vulnerabilidades relacionadas que permiten a los atacantes evitar los mecanismos de filtrado de encabezado a través de técnicas de manipulación sensibles a los estuches.
Dos pasos de la exploit (fuente – Palo Alto Networks)
Investigadores de Palo Alto Networks identificado Un aumento dramático en los intentos de explotación inmediatamente después de la divulgación pública de las vulnerabilidades, con una frecuencia de ataque en la primera semana de marzo de 2025.
Los sistemas de telemetría de la firma de seguridad bloquearon 125.856 sondas, escaneos y intentos de explotación, incluidos 7.859 dirigidos específicamente a la vulnerabilidad de Tomcat.
El análisis de los patrones de ataque revela tanto las herramientas de escaneo automatizadas como los intentos de explotación activa, con muchos ataques utilizando el marco de escáner de núcleos disponibles libremente.
El panorama de amenazas ha evolucionado rápidamente desde las revelaciones iniciales, con exploits de prueba de concepto que se ponen disponibles públicamente poco después de que Apache lanzó parches de seguridad.
Archivo de sesión en caché (Fuente – Palo Alto Networks)
La facilidad de explotación ha reducido la barrera para actores de amenazas menos sofisticados, lo que hace que estas vulnerabilidades sean particularmente peligrosas para las organizaciones que no han aplicado las actualizaciones necesarias.
El mecanismo de explotación parcial de Tomcat
La vulnerabilidad CVE-2025-24813 aprovecha un sofisticado proceso de ataque de dos pasos que explota el manejo de Tomcat de las solicitudes de colocación parcial con encabezados de rango de contenido.
Los atacantes primero organizan su carga útil maliciosa enviando una solicitud de HTTP que contiene código malicioso serializado, con el nombre de archivo que terminó en “.Session” para garantizar el almacenamiento en caché adecuado del mecanismo de persistencia de la sesión de Tomcat.
La implementación de la carga útil inicial requiere configuraciones específicas del servidor, incluido un parámetro de lectura desactivado y persistencia de la sesión habilitada.
Cuando se cumplen estas condiciones, Tomcat guarda el código serializado del atacante en dos ubicaciones: un archivo de caché normal en el directorio webApps y un archivo temporal con un período de liderazgo en el directorio de trabajo.
El proceso de explotación concluye cuando el atacante envía una solicitud de seguimiento HTTP que contiene un valor de cookie JSesionID cuidadosamente elaborado que desencadena la deserialización del código malicioso en caché.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
