Redazione RHC : 4 julio 2025 13:55
Desde principios de 2025, los expertos en seguridad han observado un drástico aumento de ciberataques a nivel mundial, con más de 125.000 intentos de explotación en más de 70 países dirigidos a vulnerabilidades en Apache Tomcat y Apache Camel. Estas fallas de seguridad, identificadas como CVE-2025-24813 para Apache Tomcat y CVE-2025-27636 y CVE-2025-29891 para Apache Camel, permiten la ejecución remota de código, lo que representa una amenaza significativa para las organizaciones que utilizan estas plataformas Java ampliamente utilizadas.
Desde su divulgación en marzo de 2025, los atacantes han comenzado a explotar vulnerabilidades críticas en estas soluciones, poniendo en riesgo la seguridad de las organizaciones que las utilizan. Investigadores de Palo Alto Networks detectaron un drástico aumento en los intentos de explotación poco después de que se divulgaran las vulnerabilidades, con un aumento repentino de la frecuencia de los ataques.
La telemetría de la empresa de seguridad bloqueó 125.856 sondeos, análisis e intentos de explotación, incluyendo 7.859 dirigidos específicamente a la vulnerabilidad de Tomcat. Apache Tomcat, la popular plataforma de servidor web que permite aplicaciones web basadas en Java, es vulnerable a CVE-2025-24813, que afecta a las versiones 9.0.0.M1 a 9.0.98, 10.1.0-M1 a 10.1.34 y 11.0.0-M1 a 11.0.2. La falla explota la funcionalidad PUT parcial de Tomcat, combinada con las funciones de persistencia de sesión, lo que permite a los atacantes manipular archivos de sesión serializados y ejecutar código arbitrario.
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. 
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Apache Camel, un framework de integración para conectar sistemas dispares, presenta dos vulnerabilidades relacionadas que permiten a los atacantes eludir los mecanismos de filtrado de encabezados mediante técnicas de manipulación de encabezados que distinguen entre mayúsculas y minúsculas.
Dos fases del exploit (Fuente: Palo Alto Networks)
El análisis de los patrones de ataque revela tanto herramientas de escaneo automatizadas como intentos de explotación activos, con muchos ataques que aprovechan el framework Nuclei Scanner, disponible gratuitamente. El panorama de amenazas ha evolucionado rápidamente desde las primeras revelaciones, y los exploits de prueba de concepto se hicieron públicos poco después de que Apache lanzara los parches de seguridad.
La facilidad de explotación ha reducido la barrera para los actores de amenazas menos sofisticados, lo que hace que estas vulnerabilidades sean particularmente peligrosas para las organizaciones que no han aplicado las actualizaciones necesarias. La vulnerabilidad CVE-2025-24813 utiliza un sofisticado proceso de ataque en dos etapas que explota la gestión de Tomcat de solicitudes PUT parciales con encabezados Content-Range.
La entrega inicial de la carga útil requiere configuraciones específicas del servidor, incluyendo la desactivación de un parámetro de solo lectura y la activación de la persistencia de sesión. Cuando se cumplen estas condiciones, Tomcat guarda el código serializado del atacante en dos ubicaciones: un archivo de caché normal en el directorio webapps y un archivo temporal con un punto inicial en el directorio de trabajo. El proceso de explotación finaliza cuando el atacante envía una solicitud HTTP GET posterior que contiene un valor de cookie JSESSIONID cuidadosamente diseñado que desencadena la deserialización del código malicioso almacenado en caché.
RedazioneEn un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
