พบแคมเปญการโจมตีแบบ Brute-force โดยใช้ IP address ที่ไม่ซ้ำกันหลายร้อยรายการ เพื่อมุ่งเป้าไปที่ Apache Tomcat Manager interfaces ที่มีการเปิดให้เข้าถึงผ่านทางอินเทอร์เน็ตได้
Tomcat เป็นเว็บเซิร์ฟเวอร์แบบโอเพ่นซอร์สยอดนิยมที่ใช้งานกันอย่างแพร่หลายในองค์กรขนาดใหญ่ และผู้ให้บริการ SaaS ในขณะที่ Tomcat Manager เป็นเครื่องมือบริหารจัดการบนเว็บที่ติดตั้งมาพร้อมกับเซิร์ฟเวอร์ Tomcat ซึ่งจะช่วยให้ผู้ดูแลระบบสามารถจัดการเว็บแอปพลิเคชันที่ติดตั้งไว้ผ่าน graphical interface ได้
Tomcat Manager ถูกกำหนดค่าเริ่มต้นให้อนุญาตการเข้าถึงได้เฉพาะจาก localhost (127.0.0.1) เท่านั้น โดยจะไม่มีข้อมูล credentials ที่ตั้งค่าไว้ล่วงหน้า และการเข้าถึงจากระยะไกลจะถูกบล็อก อย่างไรก็ตาม เมื่อมีการเปิดให้เข้าถึงผ่านอินเทอร์เน็ตได้ เว็บแอปพลิเคชันดังกล่าวก็อาจตกเป็นเป้าหมายของผู้ไม่หวังดีได้ ดังที่บริษัทด้านความปลอดภัยทางไซเบอร์ GreyNoise ได้ตรวจพบเมื่อเร็ว ๆ นี้
เริ่มตั้งแต่วันที่ 5 มิถุนายนที่ผ่านมา นักวิเคราะห์ของ GreyNoise ได้ตรวจพบแคมเปญการโจมตี 2 รูปแบบที่มีการประสานงานร่วมกัน โดยมุ่งเป้าไปที่อินเทอร์เฟซของ Apache Tomcat Manager และพยายามเข้าถึงบริการของ Tomcat ผ่านทางอินเทอร์เน็ต
แคมเปญแรกใช้ IP address ที่ไม่ซ้ำกันอยู่ประมาณ 300 รายการ ซึ่งส่วนใหญ่ถูกระบุว่า IP เป็นอันตราย โดยจะพยายามเข้าสู่ระบบที่เปิดให้เข้าถึงได้ผ่านทางอินเทอร์เน็ต และแคมเปญที่สองใช้ IP ที่เป็นอันตรายกว่า 250 รายการ เพื่อโจมตีเว็บแอปพลิเคชัน Tomcat Manager ด้วยการโจมตีแบบ brute force ซึ่งเป็นวิธีที่ผู้ไม่หวังดีจะใช้เครื่องมืออัตโนมัติในการทดสอบข้อมูล credentials ที่เป็นไปได้มากกว่า 1,000 รายการหรือมากกว่า 1 ล้านรายการ
GreyNoise ระบุว่า "มี IP ที่ไม่ซ้ำกันอยู่ประมาณ 400 รายการ ที่เกี่ยวข้องกับการดำเนินการที่ตรวจพบในทั้งสองแคมเปญ โดยพฤติกรรมส่วนใหญ่ที่มาจาก IP เหล่านี้จะมุ่งเป้าไปที่บริการของ Tomcat โดยเฉพาะ และจำนวนมากมีแหล่งที่มาจากโครงสร้างพื้นฐานของ DigitalOcean (ASN 14061)"
"แม้ว่าพฤติกรรมนี้จะไม่ได้เชื่อมโยงกับช่องโหว่ใดเป็นพิเศษ แต่ก็สะท้อนให้เห็นถึงความสนใจอย่างต่อเนื่องของผู้ไม่หวังดีในบริการของ Tomcat ที่มีการเปิดให้เข้าถึงจากภายนอกได้ ปฏิบัติการที่ฉวยโอกาส และเป็นวงกว้างเช่นนี้มักจะเป็นสัญญาณเตือนล่วงหน้าถึงการโจมตีในอนาคตได้"
บริษัทด้านความปลอดภัยทางไซเบอร์ได้แนะนำให้องค์กรที่มีอินเทอร์เฟซของ Tomcat Manager ที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ตได้ ควรตรวจสอบให้แน่ใจว่ามีการยืนยันตัวตนที่รัดกุม และมีการจำกัดการเข้าถึงอย่างเข้มงวด
ผู้ใช้ควรตรวจสอบ security logs เพื่อค้นหาพฤติกรรมการเข้าสู่ระบบที่น่าสงสัย และควรบล็อก IP address ใด ๆ ที่อาจอยู่เบื้องหลังความพยายามในการโจมตีระบบโดยทันที
แม้ว่าการโจมตีเหล่านี้จะไม่ได้โจมตีช่องโหว่ด้านความปลอดภัยใดเป็นพิเศษ แต่ Apache ก็ได้ออกแพตช์แก้ไขในเดือนมีนาคมที่ผ่านมา เพื่อแก้ไขช่องโหว่ Remote Code Execution (RCE) ใน Apache Tomcat (CVE-2025-24813) ซึ่งได้ถูกนำไปใช้ในการโจมตีจริง โดยผู้ไม่หวังดีสามารถเข้าควบคุมเซิร์ฟเวอร์ที่มีช่องโหว่ได้เพียงแค่ส่ง PUT request ง่าย ๆ เข้าไป
มีรายงานว่าผู้ไม่หวังดีที่อยู่เบื้องหลังการโจมตีได้ใช้โค้ดจาก proof-of-concept (PoC) ที่ถูกเผยแพร่บน GitHub เพียงแค่ 30 ชั่วโมงหลังจากที่ช่องโหว่ดังกล่าวถูกเปิดเผย และมีการออกแพตช์แก้ไข
ในเดือนธันวาคม 2024 ที่ผ่านมา Apache ยังได้แก้ไขช่องโหว่ RCE อีกรายการหนึ่งใน Tomcat (CVE-2024-56337) ที่สามารถใช้เพื่อ bypass การอัปเดตแพตช์สำหรับช่องโหว่ RCE ระดับ critical อีกรายการ (CVE-2024-50379) ที่เพิ่งได้รับการแก้ไขไปก่อนหน้านั้นไม่กี่วัน
ที่มา : bleepingcomputer
You must be logged in to post a comment.