حملات بروت‌فورس پنل‌های مدیریت Apache Tomcat را هدف قرار می‌دهند

حملات گسترده به رابط‌های مدیریت آپاچی تامکت با استفاده از صدها آدرس IP منحصر به فرد

کمپینی هماهنگ از حملات brute-force با استفاده از صدها آدرس IP منحصر به فرد، رابط‌های مدیریت آپاچی تامکت را که به صورت آنلاین در معرض دید قرار دارند، هدف قرار می‌دهد. تامکت یک وب سرور متن‌باز محبوب است که به طور گسترده توسط شرکت‌های بزرگ و ارائه‌دهندگان SaaS استفاده می‌شود. مدیر تامکت ابزار مدیریت مبتنی بر وب است که همراه با سرور تامکت عرضه می‌شود و به مدیران کمک می‌کند تا برنامه‌های وب مستقر شده را از طریق رابط گرافیکی مدیریت کنند.

مدیر تامکت به طور پیش‌فرض پیکربندی شده است که فقط از localhost (127.0.0.1) دسترسی داشته باشد، بدون اعتبارنامه‌های از پیش پیکربندی شده و دسترسی از راه دور مسدود است. با این حال، هنگامی که به صورت آنلاین در معرض دید قرار می‌گیرد، این برنامه وب می‌تواند توسط مهاجمان هدف قرار گیرد، همانطور که اخیراً شرکت امنیت سایبری GreyNoise مشاهده کرد.

از ۵ ژوئن، تحلیلگران GreyNoise دو کمپین هماهنگ را کشف کردند که رابط‌های مدیریت آپاچی تامکت را هدف قرار می‌دادند و سعی در دسترسی به خدمات تامکت از طریق اینترنت داشتند. اولین کمپین از نزدیک به ۳۰۰ آدرس IP منحصر به فرد استفاده می‌کرد که اکثر آنها به عنوان مخرب برچسب‌گذاری شده بودند و سعی در ورود به سیستم‌های آنلاین در معرض دید داشتند. دومین کمپین از ۲۵۰ IP مخرب برای هدف قرار دادن برنامه‌های وب مدیر تامکت در حملات brute force استفاده می‌کرد، جایی که بازیگران تهدید از ابزارهای خودکار برای آزمایش هزاران یا حتی میلیون‌ها اعتبارنامه احتمالی استفاده می‌کنند.

GreyNoise اعلام کرد: “تقریباً ۴۰۰ IP منحصر به فرد در فعالیت‌های مشاهده شده در هر دو برچسب در طول این دوره فعالیت افزایش یافته دخیل بودند. بیشتر فعالیت‌های منشأ گرفته از این IPها تمرکز محدودی بر خدمات تامکت نشان دادند. بخش قابل توجهی از این فعالیت از زیرساخت‌های میزبانی شده توسط DigitalOcean (ASN 14061) منشأ گرفته بود.”

“در حالی که به آسیب‌پذیری خاصی مرتبط نیست، این رفتار علاقه مداوم به خدمات تامکت در معرض دید را برجسته می‌کند. فعالیت‌های گسترده و فرصت‌طلبانه مانند این اغلب به عنوان هشدار اولیه برای بهره‌برداری‌های آینده عمل می‌کنند.”

شرکت امنیت سایبری به سازمان‌هایی که رابط‌های مدیر تامکت آنها به صورت آنلاین در معرض دید قرار دارد، توصیه کرد که اطمینان حاصل کنند احراز هویت قوی و محدودیت‌های دسترسی دارند. کاربران باید گزارش‌های امنیتی را برای هرگونه فعالیت ورود مشکوک بررسی کنند و فوراً هر آدرس IP که ممکن است پشت تلاش نفوذ باشد را مسدود کنند.

در حالی که هیچ آسیب‌پذیری امنیتی خاصی در این حملات مورد بهره‌برداری قرار نگرفت، آپاچی در ماه مارس اصلاحات امنیتی را منتشر کرد تا آسیب‌پذیری اجرای کد از راه دور (RCE) در آپاچی تامکت (CVE-2025-24813) را که به طور فعال در محیط واقعی برای تصاحب سرورهای آسیب‌پذیر با یک درخواست PUT ساده مورد بهره‌برداری قرار می‌گرفت، وصله کند.

گزارش شده است که بازیگران تهدید پشت این حملات از اکسپلویت‌های اثبات مفهوم (PoC) منتشر شده در GitHub تنها ۳۰ ساعت پس از افشا و وصله شدن نقص استفاده کردند.

در دسامبر، آپاچی همچنین یک نقص RCE دیگر تامکت (CVE-2024-56337) را برطرف کرد که می‌توانست برای دور زدن وصله برای یک آسیب‌پذیری RCE بحرانی دوم (CVE-2024-50379) که چند روز قبل‌تر کاهش یافته بود، استفاده شود.