網路安全公司 GreyNoise 發現,
數百個不重複 IP 位址正在發動協調性暴力破解攻擊,鎖定暴露在網路上的 Apache Tomcat Manager 管理介面。這波攻擊凸顯了開源網頁伺服器軟體在配置不當時面臨的安全風險。
Apache Tomcat 成攻擊目標
Apache Tomcat 是廣受大型企業和軟體即服務(SaaS)供應商使用的熱門開源網頁伺服器。
Tomcat Manager 是 Apache Tomcat 伺服器內建的管理工具,主要用於部署、監控及管理 Web 應用程式。Tomcat 是 Java 開發者及企業常用的應用伺服器之一,在台灣很多網站、平台、學術單位與企業都使用 Tomcat 作為 Web 服務的基礎環境,具有高效率、穩定性與安全性。
依照預設配置,Tomcat Manager 僅允許從本機(127.0.0.1)存取,沒有預先設定的憑證且封鎖遠端存取。然而,當該管理介面暴露在網路上時,就可能成為攻擊者的目標。
兩波協調性攻擊活動
自 6 月 5 日起,GreyNoise 分析師發現兩波協調性攻擊活動,專門鎖定 Apache Tomcat Manager 介面並試圖透過公開網路取得 Tomcat 服務的存取權限。
- 第一波攻擊活動:295 個不重複 IP 位址在 6 月 5 日當天對 Tomcat Manager 發動暴力破解攻擊,所有 IP 位址均被歸類為惡意。在過去 24 小時內,記錄到 188 個不重複 IP 位址參與攻擊,其中大部分位於美國、英國、德國、荷蘭和新加坡。
- 第二波攻擊活動:298 個不重複 IP 位址進行針對 Tomcat Manager 實例的登入嘗試。在過去 24 小時內被標記的 246 個 IP 位址,全部被歸類為惡意且來源地區相同。這些攻擊的目標國家包括美國、英國、西班牙、德國、印度和巴西。
GreyNoise 表示,在 6 月 5 日觀察到暴力破解和登入嘗試激增,顯示這些可能是『大規模識別和存取暴露 Tomcat 服務』的刻意行動。總計約有 593 個不重複 IP 位址參與了觀察到的活動,這些活動有相當大一部分源自 DigitalOcean(ASN 14061)託管的基礎設施。
安全建議與防護措施
GreyNoise 建議,擁有暴露在網路上的 Tomcat Manager 介面的組織,應確保具備強化身份驗證和存取限制機制。
具體防護措施包括:
- 檢查安全日誌,注意任何可疑的登入活動
- 立即封鎖可能涉及入侵嘗試的 IP 位址
- 強化身份驗證,使用複雜密碼或多因素驗證
- 限制存取來源,僅允許必要的 IP 位址或網段存取
- 定期更新,確保 Tomcat 版本保持最新狀態
- 監控可疑活動,建立警報機制偵測異常登入行為
威脅趨勢分析
這次大規模暴力破解攻擊反映了攻擊者策略的演進。除了利用已知漏洞外,威脅行為者也會針對配置不當或預設設定的管理介面發動攻擊。
大型企業和 SaaS 供應商特別需要關注其 Tomcat 部署的安全配置,確保管理介面不會意外暴露在公共網路上。
此類廣泛的機會主義攻擊活動往往是更進階攻擊的前兆。一旦攻擊者成功取得管理介面的存取權限,就可能進一步部署惡意程式碼、竊取敏感資料,或將受感染的伺服器作為跳板發動其他攻擊。
圖片來源: greynoise 官網。