Die Schwachstelle CVE-2025-24813 wurde Berichten zufolge erstmals von einem Nutzer eines chinesischen Sicherheitsforums unter dem Pseudonym "iSee857" öffentlich dokumentiert und ist mittlerweile als sogenannter Proof of Concept (PoC) online verfügbar. Die Angriffsmethode nutzt die standardmäßige Sitzungsverwaltung von Tomcat in Kombination mit der Unterstützung für teilweise PUT-Anfragen.

Der Angriff erfolgt in zwei Schritten: Zunächst wird eine präparierte Java-Sitzungsdatei mit einer PUT-Anfrage hochgeladen, die eine schädliche, base64-kodierte Nutzlast enthält. Anschließend wird die Ausführung des Schadcodes durch eine GET-Anfrage ausgelöst, indem der Angreifer die manipulierte Sitzungs-ID referenziert. Dadurch erfolgt eine unautorisierte Deserialisierung, die es dem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen.

Keine Authentifizierung nötig

Besonders brisant ist, dass für den Angriff keine Authentifizierung erforderlich ist und viele Web Application Firewalls (WAFs) ihn nicht erkennen. Die schädliche Nutzlast ist base64-kodiert und wird erst bei der Deserialisierung aktiv, sodass signaturbasierte Sicherheitsmechanismen oft versagen. Da traditionelle WAFs in der Regel keine tiefergehende Analyse von hochgeladenen Dateien oder mehrstufigen Angriffen durchführen, bleibt die Bedrohung häufig unentdeckt, bis es bereits zu spät ist.

Sicherheitsunternehmen wie Wallarm haben bereits Mechanismen zur Erkennung und Abwehr dieser Angriffe entwickelt. Ihre API-Sicherheitsplattform dekodiert base64-verschlüsselte Nutzlasten, analysiert serialisierte Java-Objekte und erkennt Angriffe, bevor sie zur Ausführung kommen. Laut Wallarm wurde der erste bekannte Angriff am 12. März um 12:38 Uhr (CST) aus Polen registriert, wenige Tage vor der Veröffentlichung des PoC auf GitHub.

Weitere Attacken möglich

Experten warnen, dass CVE-2025-24813 nur der Anfang sein könnte. Die zugrundeliegende Schwachstelle in der Verarbeitung von PUT-Anfragen könnte Angreifern ermöglichen, weitere Dateien hochzuladen, JSP-Skripte auszuführen oder Konfigurationsänderungen vorzunehmen. Die schnelle Veröffentlichung und aktive Nutzung dieser Sicherheitslücke zeigt, dass klassische reaktive Sicherheitsmaßnahmen nicht ausreichen. Unternehmen wird geraten, auf proaktive Sicherheitsmechanismen zu setzen, die Angriffe in Echtzeit erkennen und verhindern.