La compañía de inteligencia de amenazas Greynoise advierte sobre la «actividad de fuerza bruta ajustada» que se dirige a la interfaz del gerente de Apache Tomcat.
La compañía dijo que el 5 de junio de 2025, hubo un aumento en la fuerza bruta y los intentos de inicio de sesión. Esto sugiere que podría ser un esfuerzo deliberado para «identificar y acceder a los servicios de Tomcat expuestos a gran escala».
Con este fin, se sabe que 295 direcciones IP únicas participan en intentos de fuerza bruta en el gerente de Tomcat ese día, todos los cuales se clasifican como maliciosos. En las últimas 24 horas, se han registrado 188 IP únicas, la mayoría de los cuales han estado en los Estados Unidos, el Reino Unido, Alemania, los Países Bajos y Singapur.
Del mismo modo, se observó que 298 IP únicos realizan intentos de inicio de sesión para la instancia de Tomcat Manager. De las 246 direcciones IP marcadas en las últimas 24 horas, todas están categorizadas como maliciosas y se originan desde la misma ubicación.
Los objetivos para estos intentos incluyen Estados Unidos, Reino Unido, España, Alemania, India y Brasil durante el mismo período. Greynoise señaló que una porción significativa de la actividad provino de la infraestructura alojada por Digitalocean (ASN 14061).
«Si bien no está vinculada a ninguna vulnerabilidad particular, esta acción resalta el continuo interés en los servicios de Tomcat expuestos», agregó la compañía. «Esta amplia gama de actividades oportunistas a menudo sirve como advertencias tempranas de explotación futura».
Se recomiendan organizaciones con interfaces de gerente de Tomcat expuestas para implementar fuertes restricciones de autenticación y acceso para mitigar los riesgos potenciales y monitorear las indicaciones de actividades sospechosas.
Esta divulgación se produce cuando Bitsight revela que más de 40,000 cámaras de seguridad tienen acceso abierto a través de Internet, y podría acceder a los alimentos de video en vivo capturados por estos dispositivos a través de HTTP o Protocolo de transmisión en tiempo real (RTSP). Esta exposición se concentra en los Estados Unidos, Japón, Austria, la República Checa y Corea del Sur.
El sector de las telecomunicaciones representa el 79%de las cámaras expuestas, seguidas de tecnología (6%), medios de comunicación (4.1%), servicios públicos (2.5%), educación (2.2%), servicios comerciales (2.2%) y gobierno (1.2%).
El equipo puede ser inadvertido para filtrar información confidencial de los instalados en entornos residenciales, de oficina, transporte público y de fábrica, y luego se puede usar mal para espiar, acoso o extorsión.
Se recomienda a los usuarios que cambien su nombre de usuario y contraseña predeterminados y deshabilite el acceso remoto si no es necesario (o restringe el acceso utilizando un firewall y VPN) para mantener el firmware actualizado.
«Para fines de seguridad o conveniencia, estas cámaras a menudo son ventanas abiertas a espacios sensibles que a menudo no están familiarizados con el propietario», dijo el investigador de seguridad Joan Cruz en un informe compartido con Hacker News.
«El hecho de que cualquiera pueda comprar, enchufar y comenzar a transmitir con una configuración mínima, independientemente de por qué un solo individuo u organización necesita este tipo de dispositivo, es probablemente una amenaza que aún está en curso».
Source link
