AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Ataques de fuerza bruta masiva comprometen interfaces de Apache Tomcat Manager expuestas

admin

Introducción

En los últimos meses, se ha detectado una campaña coordinada de ataques de fuerza bruta dirigida a las interfaces de administración de Apache Tomcat Manager expuestas en Internet. Esta oleada de intentos de intrusión, caracterizada por la utilización de cientos de direcciones IP únicas, pone en jaque a organizaciones de todo el mundo, especialmente a aquellas que mantienen servidores Tomcat accesibles públicamente con configuraciones por defecto o credenciales débiles. El fenómeno evidencia la importancia crítica de reforzar la seguridad de los entornos de aplicación Java y anticipa un incremento en la explotación de servicios de administración expuestos.

Contexto del Incidente

Apache Tomcat es uno de los servidores de aplicaciones Java más utilizados en entornos empresariales, con una cuota de mercado superior al 60% entre servidores Java según W3Techs. El componente Manager, destinado a la administración remota de aplicaciones, constituye un objetivo habitual para actores maliciosos, dadas sus amplias capacidades de gestión. El incidente actual muestra una sofisticación creciente en los ataques de fuerza bruta, donde se emplean botnets y proxies para distribuir los intentos sobre cientos de orígenes distintos, dificultando la detección basada en IP y el bloqueo tradicional.

Los informes iniciales provienen de sistemas de detección de intrusos (IDS) y honeypots desplegados por múltiples equipos de respuesta a incidentes (CSIRT). Se ha constatado un aumento del 250% en los intentos de acceso no autorizado sobre el puerto 8080/tcp, habitualmente utilizado por Tomcat, durante el segundo trimestre de 2024.

Detalles Técnicos

Las campañas de fuerza bruta se centran en la URL `/manager/html`, mediante peticiones HTTP POST/GET automatizadas que prueban combinaciones de usuario y contraseña comunes como `tomcat:tomcat`, `admin:admin` o credenciales previamente filtradas en brechas.

No se ha identificado un CVE específico explotado en esta campaña; el vector principal es la explotación de credenciales débiles o por defecto, en línea con las técnicas T1110 (Brute Force) y T1078 (Valid Accounts) del framework MITRE ATT&CK. Los ataques se orquestan usando herramientas automatizadas como Hydra, Burp Suite Intruder y módulos personalizados de Metasploit, algunas de ellas integradas en scripts Python que manejan la rotación de IP mediante proxys SOCKS5 y VPNs comerciales.

Indicadores de compromiso (IoC) observados incluyen:
– Gran volumen de solicitudes HTTP con encabezados User-Agent genéricos o vacíos.
– Accesos reiterados a `/manager/html` y `/host-manager/html` desde rangos de IP de Europa del Este y Sudeste Asiático.
– Intentos de autenticación con credenciales conocidas de filtraciones anteriores.

En sistemas comprometidos, se ha detectado la ejecución de webshells (JSP) y la carga de herramientas post-explotación como Cobalt Strike Beacons, lo que evidencia una segunda fase de explotación tras el acceso inicial.

Impacto y Riesgos

La explotación exitosa de Tomcat Manager permite la gestión total de aplicaciones, incluyendo el despliegue de código arbitrario. Según datos estimados, más de 7.000 instancias Tomcat con Manager expuesto son localizables vía Shodan, de las cuales un 12% presentan credenciales por defecto.

El impacto potencial incluye:
– Compromiso de la infraestructura de aplicaciones.
– Persistencia mediante webshells o backdoors.
– Movimiento lateral para atacar otros sistemas internos.
– Exfiltración de datos sensibles o propiedad intelectual.
– Sanciones regulatorias bajo el RGPD y la Directiva NIS2, especialmente si se comprometen datos personales o infraestructuras críticas.

Medidas de Mitigación y Recomendaciones

Se recomienda a los responsables de seguridad y administradores de sistemas:

1. Restringir el acceso al Manager interface mediante listas blancas de IP o VPN corporativa.
2. Deshabilitar el Manager en entornos de producción o limitarlo exclusivamente a redes internas.
3. Implementar autenticación fuerte (preferentemente multifactor) y políticas de contraseñas robustas.
4. Monitorizar logs de acceso y eventos de autenticación fallida, integrándolos en SIEMs y sistemas de detección de anomalías.
5. Automatizar el bloqueo temporal tras múltiples intentos fallidos (fail2ban, mod_security).
6. Actualizar Apache Tomcat a la última versión soportada y eliminar cuentas no utilizadas.
7. Revisar frecuentemente la exposición de servicios en Internet con herramientas como Shodan o Censys.

Opinión de Expertos

Expertos en ciberseguridad, como Fernando Muñoz (CISO de una multinacional del sector financiero), advierten: “La gestión de interfaces administrativas expuestas es el eslabón más débil en muchas arquitecturas. No basta con confiar en configuraciones por defecto: la vigilancia activa y la reducción de la superficie de ataque son imprescindibles”.

Desde el CERT de España, se subraya que “el uso de técnicas de evasión, como la rotación de IPs y la explotación de credenciales filtradas, dificulta la respuesta reactiva y obliga a adoptar medidas proactivas de hardening y segmentación”.

Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar urgentemente sus políticas de despliegue de servidores y realizar auditorías periódicas de exposición en Internet. El cumplimiento normativo bajo RGPD y NIS2 exige demostrar diligencia en la protección de servicios críticos y la notificación de incidentes en plazos muy reducidos. Un acceso no autorizado a Tomcat Manager puede derivar en brechas de datos, pérdida de confianza y sanciones económicas que, en España, pueden superar los 20 millones de euros o el 4% de la facturación anual.

Conclusiones

La campaña de fuerza bruta contra Apache Tomcat Manager refuerza la necesidad de una defensa en profundidad, el refuerzo proactivo de credenciales y la reducción de la exposición de servicios administrativos. La vigilancia continua, el uso de mecanismos robustos de autenticación y el endurecimiento de configuraciones deben ser prioridades para cualquier organización que utilice Tomcat en producción.

(Fuente: www.bleepingcomputer.com)