Apache Tomcat Manager’a Yönelik Brute-Force Saldırıları
Son günlerde siber güvenlik alanında dikkat çeken bir gelişme yaşandı. GreyNoise isimli bir siber güvenlik şirketi, Apache Tomcat Manager arayüzlerini hedef alan ve yüzlerce benzersiz IP adresi kullanan koordine bir brute-force saldırı kampanyasını ortaya çıkardı. Apache Tomcat, özellikle büyük şirketler ve SaaS sağlayıcıları tarafından yaygın olarak kullanılan popüler bir açık kaynaklı web sunucusudur. Tomcat Manager ise, kullanıcıların dağıtılan web uygulamalarını grafiksel bir arayüzle yönetmesine yardımcı olan bir yönetim aracıdır.
Apache Tomcat Manager’ın Default Güvenlik Ayarları
Varsayılan olarak, Apache Tomcat Manager yalnızca localhost (127.0.0.1) üzerinden erişime izin vermektedir ve önceden yapılandırılmış kimlik bilgileri bulunmamaktadır. Uzaktan erişim de varsayılan olarak kapalıdır. Ancak, bu arayüzlerin çevrimiçi olarak açılması durumunda, saldırganlar tarafından hedef alınma riski artmaktadır. GreyNoise analistlerinin Haziran 5’te yaptığı gözlemler, bu durumun tehlikelerini açıkça ortaya koymaktadır.
Koordine Saldırı Kampanyalarının İncelenmesi
GreyNoise, iki ayrı koordine kampanya tespit etti. Bu kampanyalardan ilki, zararlı olduğu belirlenen yaklaşık 300 benzersiz IP adresi kullanarak çevrimiçi olarak açılmış Tomcat Manager arayüzlerine giriş yapmaya çalıştı. İkinci kampanya ise, yine 250 zararlı IP adresi kullanarak benzer hedefleri vurdu. Bu tür saldırılar genellikle, otomatik araçlar kullanarak binlerce hatta milyonlarca olası kimlik bilgilerini denemeyi içerir.
"Bu dönemde gözlemlenen etkinlikte yaklaşık 400 benzersiz IP yer aldı. Bu IP’lerin büyük çoğunluğu, Tomcat hizmetlerine odaklanmıştı. Etkinliğin önemli bir kısmı DigitalOcean tarafından barındırılan altyapılardan kaynaklandı," şeklinde açıklamada bulundu GreyNoise.
Brute-Force Saldırılarının Sonuçları
Bu tür saldırılar, belirli bir güvenlik açığına bağlı olmamakla birlikte, açıkta kalan Tomcat hizmetlerine olan sürekli ilgiyi gözler önüne sermektedir. Geniş çaplı ve fırsatçı bir etkinlik olarak tanımlanan bu saldırılar, gelecekte daha ciddi siber saldırılar için erken bir uyarı niteliği taşımaktadır.
GreyNoise, Tomcat Manager arayüzleri çevrimiçi olan kuruluşlara, güçlü kimlik doğrulama ve erişim kısıtlamaları sağlama önerisinde bulundu. Kullanıcıların güvenlik kayıtlarını kontrol etmeleri, şüpheli giriş etkinliklerini tespit etmeleri ve potansiyel bir ihlal girişimi arkasında olabilecek IP adreslerini derhal engellemeleri önemlidir.
Apache’nin Geliştirmeleri ve Güvenlik Yamanaları
Bu saldırılarda spesifik bir güvenlik açığı kullanılmamasına rağmen, Apache, Mart ayında bir uzaktan kod yürütme (RCE) açığını düzeltmek için güncellemeler yayınlamıştır. Bu açık, saldırganların kötü amaçlı bir PUT isteği ile savunmasız sunucuları ele geçirmelerine olanak tanımaktaydı (CVE-2025-24813).
Saldırganların, açığın duyurulması ve düzeltilmesinin üzerinden sadece 30 saat geçtikten sonra, GitHub’da yayımlanan proof-of-concept (PoC) istismarlarını kullandığı bildirilmektedir. Ek olarak, Aralık ayında Apache, başka bir Tomcat RCE açığını (CVE-2024-56337) düzeltmiştir. Bu açık, daha önce azaltılmış ikinci kritik RCE açığı (CVE-2024-50379) için yamanın aşılmasına izin verebiliyordu.
Güvenlik Önlemleri ve Tavsiyeler
Mevcut durum, bilgi teknolojileri (IT) alanında güçlü bir güvenlik anlayışının önemini bir kez daha gözler önüne sermektedir. Kuruluşlar, Tomcat Manager gibi yönetim araçlarındaki açık alanların güvenliğini sağlamak için sıkı kimlik doğrulama ve erişim kısıtlamaları uygulamalıdır. Buna ek olarak, güvenlik ekiplerinin güvenlik kayıtlarını sürekli olarak izlemeleri ve şüpheli etkinliklere anında müdahale etmeleri gerekmektedir.
Uzun vadeli güvenlik politikalarının oluşturulması, sadece mevcut açıkların kapatılması ile değil, aynı zamanda siber tehditleri önceden tespit etme yeteneğiyle de doğrudan ilişkilidir. Yalnızca mevcut güvenlik açıklarını belirlemekle kalmayıp, bu tür olayları araştırarak bir sonraki adımı atmak, kuruluşların uzun vadeli başarısı için kritik öneme sahiptir.
