🌐 295 IP en brute-force coordonnĂ© sur Tomcat Manager : attaque Ă  la truelle contre les serveurs mal ficelĂ©s

Le 5 juin 2025, The Hacker News a rĂ©vĂ©lĂ© une attaque de brute-force synchronisĂ© impliquant 295 adresses IPcontre des instances Apache Tomcat Manager exposĂ©es sur Internet. DerriĂšre ce chiffre brut, c’est une rĂ©alitĂ© cyber bien familiĂšre qui se dessine : des infrastructures mal configurĂ©es, des ports trop ouverts, des mots de passe trop simples, et un laisser-aller encore trop rĂ©pandu sur des composants critiques.

📌 PĂ©rimĂštre concernĂ© : Apache Tomcat Manager dans le viseur

Le Tomcat Manager est un outil intĂ©grĂ© Ă  Apache Tomcat qui permet de dĂ©ployer, dĂ©sinstaller, arrĂȘter et redĂ©marrer des applications web Java via une interface web. Puissant, mais dangereux quand il est mal protĂ©gĂ©.

Les cibles principales :

  • Instances Tomcat exposĂ©es sur Internet, sans restriction IP ou pare-feu.
  • Interfaces Tomcat Manager accessibles sans authentification forte, parfois avec des identifiants par dĂ©faut (oui, encore en 2025).
  • Serveurs n’ayant pas de systĂšme de dĂ©tection ou de limitation des tentatives d’accĂšs.

🎯 Objectif des attaquants : accùs total au serveur

L’attaque est un brute-force distribuĂ© : chaque IP teste un petit nombre de combinaisons d’identifiants, pour Ă©viter les dĂ©tections classiques basĂ©es sur le volume d’échecs par IP. En coordonnant 295 IP, les assaillants rĂ©alisent un balayage massif, mais diluĂ©.

Le but est clair :

  • AccĂ©der au Tomcat Manager.
  • Uploader une WebShell ou un fichier WAR malveillant.
  • Prendre la main sur le serveur, pivoter, exfiltrer, persister.

⚠ Risques pour les organisations exposĂ©es

Les consĂ©quences d’un succĂšs de ce type d’attaque sont lourdes :

RisqueImpact
ContrÎle total du serveurUploader une backdoor, miner du crypto, attaquer le réseau interne.
Pivot vers d’autres servicesAccĂšs Ă  d’autres machines ou donnĂ©es sensibles.
Perte de donnĂ©esAltĂ©ration ou exfiltration d’informations hĂ©bergĂ©es.
RĂ©putationDĂ©figuration de site, compromission de clients via supply chain.
RançonDĂ©ploiement d’un ransomware sur l’hĂŽte.

đŸ› ïž Recommandations : sĂ©curiser enfin son Tomcat (et son sommeil)

Soyons clairs : Tomcat exposĂ© sur Internet + Tomcat Manager accessible = faille bĂ©ante.

Voici les actions prioritaires Ă  appliquer immĂ©diatement :

1. Filtrer les accĂšs rĂ©seau

  • Restreindre l’accĂšs à /manager/html par IP ou VPN.
  • Bloquer l’accĂšs public si le manager n’est pas absolument nĂ©cessaire.

2. Changer les identifiants par dĂ©faut

  • Utiliser des mots de passe forts (>= 16 caractĂšres, alĂ©atoires).
  • Éviter les noms d’utilisateur comme admin, tomcat, manager, etc.

3. Activer l’authentification forte

  • IntĂ©grer le manager à un annuaire central sĂ©curisé (LDAP, Kerberos).
  • Si possible, ajouter un second facteur d’authentification (MFA).

4. Surveiller les logs et Ă©checs d’authentification

  • Activer les logs dĂ©taillĂ©s d’accĂšs au manager (access_log, catalina.out, etc.).
  • Mettre en place une corrĂ©lation d’IP suspectes dans un SIEM ou via des scripts maison.

5. Automatiser les rĂ©actions

  • Installer Fail2Ban ou Ă©quivalent sur les logs Tomcat.
  • Utiliser un IDS/IPS rĂ©seau pour dĂ©tecter les attaques distribuĂ©es.

🔍 Pour aller plus loin : la chasse aux Tomcat nĂ©gligĂ©s

Si vous ĂȘtes RSSI, admin systĂšme ou mĂȘme simple devops bienveillant, voici quelques outils utiles :

  • Shodan ou Censys : pour repĂ©rer vos Tomcat exposĂ©s (et ceux des autres).
  • nmap --script=http-enum : dĂ©tecte les interfaces Tomcat Manager.
  • whatweb, httpx, ou aquatone : pour cartographier l’exposition.

Et pour l’amour de vos nuits, dĂ©sactivez le manager si vous ne l’utilisez pas.

đŸ§© Conclusion : mieux vaut sĂ©curiser Ă  la truelle que creuser sa tombe

Cette attaque n’est pas exceptionnelle par sa mĂ©thode, mais par son ampleur coordonnĂ©e et sa facilitĂ© d’exĂ©cution. Elle rappelle, une fois encore, qu’un outil d’administration laissĂ© ouvert est plus une porte qu’une interface.

À ceux qui lisent cet article en sueur parce qu’ils n’ont pas vĂ©rifiĂ© leurs serveurs Tomcat depuis 2018 : il est temps. Et Ă  ceux qui pensent que personne ne viendra taper sur leur pauvre serveur de dev Java : 295 IP vous prouvent le contraire.

🔐 TL;DR

  • 295 IP ont lancĂ© une attaque brute-force coordonnĂ©e sur Tomcat Manager.
  • Objectif : prise de contrĂŽle via fichiers WAR ou WebShell.
  • Recommandations : restreindre l’accĂšs, durcir l’authentification, surveiller les logs, automatiser la rĂ©action.
🌐 295 IP en brute-force coordonnĂ© sur Tomcat Manager : attaque Ă  la truelle contre les serveurs mal ficelĂ©s
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut