Tấn công Brute Force và các nỗ lực đăng nhập trái phép
Công ty cho biết họ đã quan sát thấy sự gia tăng các nỗ lực tấn công Brute Force và đăng nhập vào ngày 5/6/2025, một dấu hiệu cho thấy đây có thể là những nỗ lực có chủ đích nhằm xác định và truy cập vào các dịch vụ Tomcat bị rò rỉ ở quy mô lớn.
Để đạt được mục đích đó, 295 địa chỉ IP đã được phát hiện tham gia vào các nỗ lực tấn công Brute Force vào Tomcat Manager vào ngày đó, tất cả đều được phân loại là độc hại. Từ đó đến nay, 188 IP được ghi nhận và truy vết đến từ Mỹ, Vương quốc Anh, Đức, Hà Lan và Singapore.
Tương tự như vậy, 298 IP cũng đã được phát hiện thực hiện các nỗ lực đăng nhập vào các phiên bản Tomcat Manager. Trong số 246 địa chỉ IP được đánh dấu theo dõi, tất cả đều được phân loại là độc hại và có nguồn gốc từ cùng một vị trí.
Mục tiêu của những nỗ lực này bao gồm Mỹ, Vương quốc Anh, Tây Ban Nha, Đức, Ấn Độ và Brazil trong cùng khoảng thời gian. GreyNoise lưu ý rằng một phần đáng kể của hoạt động này đến từ cơ sở hạ tầng do DigitalOcean lưu trữ.
“Mặc dù không liên quan đến một lỗ hổng cụ thể, nhưng hành vi này làm nổi bật mối quan tâm liên tục đối với các dịch vụ Tomcat bị rò rỉ. Hoạt động rộng rãi và mang tính cơ hội như vậy thường đóng vai trò là cảnh báo sớm về việc khai thác trong tương lai”, công ty cho biết thêm.
Để giảm thiểu mọi rủi ro tiềm ẩn, các tổ chức đang sử dụng Tomcat Manager được khuyến nghị triển khai xác thực mạnh mẽ và hạn chế quyền truy cập, đồng thời theo dõi mọi dấu hiệu hoạt động đáng ngờ.
Diễn biến liên quan
Việc tiết lộ này diễn ra khi công ty an ninh mạng Bitsight (Mỹ) tiết lộ rằng họ đã tìm thấy hơn 40.000 camera an ninh có thể truy cập công khai trên Internet, có khả năng cho phép bất kỳ ai truy cập vào các nguồn cấp dữ liệu video trực tiếp được ghi lại bởi các thiết bị này qua HTTP hoặc giao thức RTSP. Các vụ việc này tập trung ở Mỹ, Nhật Bản, Áo, Séc và Hàn Quốc. Ngành viễn thông chiếm 79% số camera bị lộ, tiếp theo là công nghệ (6%), truyền thông (4,1%), tiện ích (2,5%), giáo dục (2,2%), dịch vụ kinh doanh (2,2%) và chính phủ (1,2%).
Các thiết bị này có thể được lắp đặt tại nhà ở, văn phòng, hệ thống giao thông công cộng và nhà máy, vô tình làm rò rỉ thông tin nhạy cảm có thể bị khai thác cho mục đích gián điệp, theo dõi và tống tiền.
Người dùng được khuyến cáo nên thay đổi tên đăng nhập và mật khẩu mặc định, tắt quyền truy cập từ xa nếu không cần thiết (hoặc hạn chế quyền truy cập bằng tường lửa và VPN) và cập nhật firmware.