Accueil » , » Attaque par force brute sur l'interface admin Apache Tomcat

Attaque par force brute sur l'interface admin Apache Tomcat

Aucun commentaire
attaque par force brute interface apache tomcat

Le 11 juin 2025, le site BleepingComputer a publié un article décrivant en détail une série d’attaques coordonnées par force brute visant les interfaces de gestion Web de Apache Tomcat (le gestionnaire “Manager”) exposées sur internet. Ces attaques massives, relevées par la plateforme de threat intelligence GreyNoise, démontrent une recrudescence notable de tentatives d’intrusion automatisées contre des services Tomcat accessibles en ligne.

Contexte et fonctionnement

Apache Tomcat est un serveur Web open-source largement utilisé, notamment par les entreprises et les fournisseurs de SaaS. Le module Tomcat Manager est une interface Web permettant aux administrateurs de gérer les applications, de les déployer ou de les stopper via navigateur.

Par défaut, ce gestionnaire est restreint à l’accès depuis localhost (127.0.0.1), sans identifiants prédéfinis, et verrouillé à distance. Cependant, lorsqu’il est mal configuré ou exposé sur Internet, il devient une cible de choix pour les cybercriminels.

Le déroulement des attaques

  • Début de l’observation : à partir du 5 juin 2025, GreyNoise détecte deux campagnes coordonnées ciblant les interfaces Tomcat Manager exposées.
  • Campagne 1 – Login Attempt : environ 298 adresses IP distinctes (99,7 % malveillantes) tentent des connexions par force brute vers Tomcat Manager.
  • Campagne 2 – Force brute traditionnelle : environ 250 adresses IP, elles aussi essentiellement malveillantes, testent des mots de passe en masse via un script ou un botnet.
  • Total : près de 400 IPs uniques sont impliquées, dont beaucoup provenant d'infrastructures hébergées chez DigitalOcean (ASN 14061).

Ces IPs montrent une focalisation marquée sur les services Tomcat, typique d’une recherche opportuniste de serveurs mal sécurisés. Les attaques ne se basent pas sur une vulnérabilité particulière, mais exploitent la présence même des interfaces exposées.

Risque et impact

Bien que ces attaques ne ciblent pas une faille spécifique, elles constituent un signal d’alerte quant à l’intérêt criminel pour les consoles Tomcat ouvertes à Internet. Une interface accessible par cette méthode pourrait rapidement conduire à une compromission complète du service serveur, même sans un bug de sécurité. Le simple login par force brute peut suffire si les identifiants sont faibles ou standards.

Recommandations de sécurité

L’article cite plusieurs recommandations critiques :

  • Limiter l’accès à Tomcat Manager : restreindre les accès à localhost ou à des réseaux privés via pare-feu ou VPN.
  • Mettre en place une authentification forte : utiliser des mots de passe complexes, modifier les identifiants par défaut, implémenter l’authentification multi‑facteurs.
  • Surveiller les journaux (logs) de connexion : détecter les tentatives multiples ou provenant d’adresses inhabituelles et les bloquer immédiatement.
  • Bloquer les IP suspectes : automatiser le blocage via IPS/IDS/firewall contre les adresses identifiées comme malveillantes.

GreyNoise recommande également d’utiliser leurs listes dynamiques d’IPs malveillantes pour anticiper et prévenir de futures attaques.

Contexte plus large des vulnérabilités Tomcat

L’article rappelle que, bien que les attaques observées aujourd’hui ne reposent pas sur une faille technique, Apache Tomcat a corrigé plusieurs vulnérabilités critiques ces derniers mois :

  • CVE‑2025‑24813 : faille RCE via requête PUT, exploitée activement depuis mars 2025, permettant l’exécution de code à distance sans authentification.
  • Historique : en décembre 2024, d’autres failles RCE (CVE‑2024‑56337, CVE‑2024‑50379) ont été corrigées, montrant une cadence élevée des alertes critiques.

L'article souligne que, même si aucune vulnérabilité identifiée n’est exploitée dans cette vague actuelle, les activités détectées peuvent être un signal précurseur d’attaques exploitant des failles ou des pratiques de configuration faibles.

En résumé

En résumé, cette campagne met en évidence une menace persistante : les interfaces Tomcat Manager exposées sur Internet sont des cibles priées par les acteurs malveillants qui utilisent des réseaux botnets pour des attaques en force brute à grande échelle.

La principale leçon à retenir est que la sécurité de ces interfaces repose avant tout sur une configuration stricte (accès restreints, mots de passe robustes, authentification multifacteur), une surveillance active (analyse des logs, blocage d’IPs suspectes), et la mise à jour régulière des patchs de sécurité.

Points clés à retenir

  • Campagne coordonnée identifiée dès le 5 juin 2025 avec environ 400 IPs impliquées.
  • Focalisation sur Tomcat Manager ouvert à Internet, sans exploitation de faille particulière.
  • Infrastructure toxique hébergée en partie sur DigitalOcean.
  • Mesures recommandées : restreindre l’accès, renforcer l’authentification, surveiller et bloquer les IPs suspectes, appliquer les patchs.
  • Risques associés : brute force pouvant mener à l’exécution de code, joignable à travers des interfaces mal configurées ou non protégées.

Ce scénario renforce l’importance d’une stratégie de sécurité multi‑couches incluant configuration, surveillance, et mise à jour continue des infrastructures exposées.

Source : Brute-force attacks target Apache Tomcat management panels - Bleeping Computer
Partager sur :

Aucun commentaire:

Enregistrer un commentaire

Populaires

Tags