Apache Tomcat CVE-2024-56337: Como Proteger Seus Servidores de Ataques RCE

27 de dezembro de 2024

Apache Tomcat CVE-2024-56337: Como Proteger Seus Servidores de Ataques RCE

Uma nova vulnerabilidade crítica, identificada e rastreada como CVE-2024-56337, foi descoberta no Apache Tomcat, permitindo que atacantes executem código remotamente (RCE) em servidores vulneráveis. Essa falha afeta várias versões do Tomcat e exige atenção imediata de administradores e equipes de segurança para mitigar os riscos. Neste artigo, exploramos como essa vulnerabilidade funciona, os impactos potenciais e como se proteger.

O Que é a CVE-2024-56337?

A CVE-2024-56337 é uma falha de segurança causada por uma condição de corrida (TOCTOU – Time-of-Check Time-of-Use) no Apache Tomcat. A vulnerabilidade surge quando o servlet padrão está configurado com a opção de escrita habilitada (readonly=false), especialmente em sistemas de arquivos insensíveis a maiúsculas e minúsculas.

Essa falha permite que invasores carreguem arquivos maliciosos, como JSPs, no servidor, que podem ser interpretados e executados pelo Tomcat, resultando em controle remoto sobre o sistema comprometido.

Quais Versões do Apache Tomcat São Afetadas?

As versões vulneráveis do Apache Tomcat incluem:

    • Apache Tomcat 11: da versão 11.0.0-M1 até 11.0.1
    • Apache Tomcat 10: da versão 10.1.0-M1 até 10.1.33
    • Apache Tomcat 9: da versão 9.0.0-M1 até 9.0.97

Administradores que utilizam essas versões devem agir rapidamente para atualizar seus sistemas.

Como Exploração da CVE-2024-56337 Pode Impactar Seu Servidor?

Se explorada, essa vulnerabilidade pode permitir que atacantes:

    • Ganhem Controle Remoto: Execute código malicioso no servidor comprometido.
    • Comprometam Dados Sensíveis: Acessar ou manipular informações armazenadas.
    • Espalhem Malware: Utilizar o servidor como ponto de distribuição para outros ataques.
    • Prejudiquem a Continuidade do Negócio: Causar interrupções no sistema e danos à reputação.

Como Mitigar a Vulnerabilidade CVE-2024-56337?

Para proteger seus servidores contra ataques que exploram a CVE-2024-56337, siga estas etapas recomendadas:

1. Atualize o Apache Tomcat

Faça o upgrade para as versões corrigidas:

    • Apache Tomcat 11: versão 11.0.2 ou superior
    • Apache Tomcat 10: versão 10.1.34 ou superior
    • Apache Tomcat 9: versão 9.0.98 ou superior

As atualizações corrigem a vulnerabilidade e fortalecem a segurança do sistema.

2. Configure o Servlet Padrão

Garanta que o parâmetro readonly do servlet padrão esteja configurado como true, a menos que a funcionalidade de escrita seja absolutamente necessária.

3. Ajuste a Propriedade do Sistema (Java)

Dependendo da versão do Java em uso:

    • Java 8 e 11: Configure sun.io.useCanonCaches=false.
    • Java 17: Certifique-se de que sun.io.useCanonCaches esteja definido como false.
    • Java 21 e posteriores: Nenhuma ação adicional é necessária, pois o problema foi removido.

4. Implemente Monitoramento e Patching Regular

Adote uma abordagem proativa para monitorar vulnerabilidades e aplicar patches regularmente, minimizando a janela de exploração.

Reconhecimentos

A vulnerabilidade foi identificada por pesquisadores de segurança do Nacl, WHOAMI, Yemoli e Ruozhi, com uma análise independente da equipe KnownSec 404, que também forneceu um código de prova de conceito (PoC).

A CVE-2024-56337 destaca a importância de manter sistemas atualizados e aplicar boas práticas de configuração. Administradores devem agir imediatamente para corrigir a vulnerabilidade e evitar que servidores sejam expostos a ataques de execução remota de código.

Para se manter atualizado sobre as melhores práticas em tecnologia e segurança da informação, não deixe de visitar o blog da Virtuaworks. Lá você encontrará artigos aprofundados, dicas e novidades que ajudarão sua organização a se preparar para o futuro digital.

Artigos Relacionados

Simulação realista de ataques corporativos

by | jul 8, 2026 | CyberSecurity | 0 Comments

Quando uma empresa acredita que está protegida porque passou por auditoria, implantou ferramentas e revisou políticas, costuma existir um ponto cego: saber se tudo isso...

Como validar exposição externa sem achismo

Como validar exposição externa sem achismo

by | jul 6, 2026 | CyberSecurity | 0 Comments

Quando uma empresa pergunta como validar exposição externa, quase nunca o problema real é apenas descobrir o que está publicado na internet. O ponto crítico é entender...

Como simular ataque de phishing com segurança

Como simular ataque de phishing com segurança

by | jul 5, 2026 | CyberSecurity | 0 Comments

Um clique em um e-mail convincente pode contornar, em segundos, controles que levaram meses para serem implantados. É por isso que entender como simular ataque de...

Quanto custa Red Team nas empresas?

Quanto custa Red Team nas empresas?

by | jul 3, 2026 | CyberSecurity | 0 Comments

A pergunta quanto custa red team costuma aparecer quando a empresa já percebeu um ponto sensível: não basta saber se existe vulnerabilidade isolada. É preciso entender...

Como auditar segurança cloud sem lacunas

by | jul 1, 2026 | CyberSecurity | 0 Comments

A maioria das falhas graves em cloud não nasce de um ataque sofisticado. Ela começa em uma permissão excessiva, um storage exposto, uma integração mal configurada ou um...

Segurança ofensiva para compliance funciona?

Segurança ofensiva para compliance funciona?

by | jun 28, 2026 | CyberSecurity | 0 Comments

Auditoria aprovada não significa ambiente seguro. Em muitas empresas, o papel está em ordem, mas aplicações críticas, APIs, acessos expostos e falhas de configuração...

Quando fazer pentest interno na empresa

Quando fazer pentest interno na empresa

by | jun 26, 2026 | CyberSecurity | 0 Comments

Um ambiente interno raramente fica estático por muito tempo. Entram novos sistemas, integrações são ampliadas, acessos se acumulam, times mudam, servidores são...

Guia de segurança para APIs nas empresas

Guia de segurança para APIs nas empresas

by | jun 25, 2026 | CyberSecurity | 0 Comments

Uma API insegura raramente falha sozinha. Em geral, ela expõe dados de clientes, abre caminho para fraude, compromete integrações críticas e cria um problema que sai do...

Como escolher pentest API sem errar

Como escolher pentest API sem errar

by | jun 22, 2026 | CyberSecurity | 0 Comments

Contratar um pentest de API porque um cliente exigiu, porque a auditoria pediu ou porque a equipe desconfia de exposição não é o problema. O problema começa quando a...

0 Comentários

0 comentários

Enviar um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *