شرکت اطلاعات تهدیدات سایبری GreyNoise از فعالیت‌های هماهنگ حملات brute-force علیه رابط‌های مدیریتی Apache Tomcat هشدار داده است. این شرکت اعلام کرد که در تاریخ ۵ ژوئن ۲۰۲۵ افزایش قابل توجهی در حملات brute-force و تلاش‌های ورود به سیستم مشاهده کرده که نشان‌دهنده تلاش‌های عمدی برای شناسایی و دسترسی به سرویس‌های Tomcat در مقیاس وسیع است.

در این تاریخ، ۲۹۵ آدرس IP منحصر به فرد در حملات brute-force علیه Tomcat Manager شناسایی شدند که همگی به عنوان مخرب طبقه‌بندی شده‌اند. در ۲۴ ساعت گذشته، ۱۸۸ آدرس IP منحصر به فرد ثبت شده که اکثر آنها در ایالات متحده، بریتانیا، آلمان، هلند و سنگاپور قرار دارند.

به طور مشابه، ۲۹۸ آدرس IP منحصر به فرد در حال انجام تلاش‌های ورود به نمونه‌های Tomcat Manager مشاهده شدند. از ۲۴۶ آدرس IP که در ۲۴ ساعت گذشته شناسایی شدند، همگی به عنوان مخرب دسته‌بندی شده و از همان مکان‌ها منشأ گرفته‌اند. اهداف این حملات شامل ایالات متحده، بریتانیا، اسپانیا، آلمان، هند و برزیل هستند.

GreyNoise اشاره کرد که بخش قابل توجهی از این فعالیت‌ها از زیرساخت‌های میزبانی شده توسط DigitalOcean منشأ گرفته است. شرکت افزود: “اگرچه این رفتار به آسیب‌پذیری خاصی مرتبط نیست، اما علاقه مداوم به سرویس‌های Tomcat را نشان می‌دهد. فعالیت‌های گسترده و فرصت‌طلبانه مانند این اغلب به عنوان هشدار اولیه برای سوءاستفاده‌های آینده عمل می‌کنند.”

برای کاهش خطرات احتمالی، به سازمان‌هایی که رابط‌های Tomcat Manager آنها در معرض دید قرار دارد، توصیه می‌شود احراز هویت قوی و محدودیت‌های دسترسی را پیاده‌سازی کنند و فعالیت‌های مشکوک را رصد نمایند.

این افشاگری در حالی صورت می‌گیرد که Bitsight اعلام کرد بیش از ۴۰ هزار دوربین امنیتی را یافته که به طور آشکار در اینترنت قابل دسترسی هستند و به هر کسی امکان دسترسی به فیدهای زنده ویدیویی از طریق HTTP یا پروتکل پخش زنده (RTSP) را می‌دهند.

این دوربین‌های در معرض دید عمدتاً در ایالات متحده، ژاپن، اتریش، جمهوری چک و کره جنوبی متمرکز هستند. بخش مخابرات ۷۹ درصد از دوربین‌های در معرض دید را تشکیل می‌دهد، پس از آن فناوری (۶ درصد)، رسانه (۴.۱ درصد)، خدمات عمومی (۲.۵ درصد)، آموزش (۲.۲ درصد)، خدمات تجاری (۲.۲ درصد) و دولت (۱.۲ درصد) قرار دارند.

این دوربین‌ها در مکان‌های مختلفی از جمله منازل مسکونی، دفاتر، سیستم‌های حمل و نقل عمومی و محیط‌های کارخانه نصب شده‌اند و ناخواسته اطلاعات حساسی را فاش می‌کنند که می‌تواند برای جاسوسی، تعقیب و اخاذی مورد سوءاستفاده قرار گیرد.

به کاربران توصیه می‌شود نام‌های کاربری و رمزهای عبور پیش‌فرض را تغییر دهند، دسترسی از راه دور را در صورت عدم نیاز غیرفعال کنند (یا با فایروال و VPN دسترسی را محدود کنند) و firmware را به‌روز نگه دارند.

ژوآو کروز، محقق امنیتی، در گزارشی اظهار داشت: “این دوربین‌ها که برای امنیت یا راحتی در نظر گرفته شده‌اند، ناخواسته به پنجره‌های عمومی به فضاهای حساس تبدیل شده‌اند، اغلب بدون اطلاع صاحبانشان. صرف نظر از دلیل نیاز افراد یا سازمان‌ها به این نوع دستگاه‌ها، این واقعیت که هر کسی می‌تواند یکی را بخرد، وصل کند و با حداقل تنظیمات شروع به پخش کند، احتمالاً دلیل اصلی است که این هنوز یک تهدید مداوم محسوب می‌شود.”