Apache Tomcat作为广泛使用的开源Java服务器应用,因其轻量、高效和灵活性,在企业级应用中占据重要地位。然而,随着其普及度提升,暴露在互联网上的Tomcat管理界面也成为黑客重点攻击目标。2025年6月5日,威胁情报公司GreyNoise发现有295个独立恶意IP地址同步对Apache Tomcat管理界面发动了大规模暴力破解攻击,行为高度协调,此举凸显了当前网络安全环境下Tomcat服务面临的严峻威胁。 GreyNoise公司在威胁分析中指出,这些暴力破解行为不是无序的随机攻击,而是有组织、针对性极强的操作,目标在于快速识别并入侵暴露的Tomcat管理服务,进一步窃取数据或控制服务器。攻击活动主要集中在美国、英国、德国、荷兰以及新加坡等网络基础设施发达的国家,攻击背后多数流量来源于如DigitalOcean这样的云计算服务商托管的网络节点。这一现象反映出现代威胁攻击正日益借助云平台对目标展开高速、多点的进攻方式,以期绕过传统网络防御和访问限制。
除当天的295个恶意IP外,GrayNoise还发现过去24小时内有188个不同IP持续尝试对Tomcat管理界面进行不法登录尝试,且这些IP均被确认存在明显恶意行为。这种攻击浪潮不仅反映出攻击者对Tomcat管理权限的强烈兴趣,同时也警示企业面临持续性威胁。相似的监控显示,还有298个不同IP在线尝试登录多个Tomcat实例,确认其中246个IP是恶意攻击源。此次的攻击范围涵盖包括西班牙、印度和巴西在内的多个国家,显示全球范围内暴力破解攻击呈扩散趋势。 目前看来,虽然这些举动尚未与特定安全漏洞直接绑定,但其行为模式无疑是黑客对暴露Tomcat服务进行广泛侦察和试探的前奏。持续、广泛的暴力破解尝试往往意味着即将出现漏洞利用或持久性入侵风险,有可能导致机密数据泄露、服务中断甚至企业声誉受损。
网络安全专家因此提醒所有运行Apache Tomcat管理界面的组织,务必加强对管理接口的访问控制。 首要建议是启用强认证机制,避免使用默认用户名和密码,这是攻击者最基础也最有效的入侵切入点。 推荐实施IP白名单机制,限定只有可信的IP地址能够访问管理界面,进一步减少攻击面。启用多因素身份验证(MFA)也是加强身份验证的重要手段,能有效阻断密码泄露后的非法登录。监控日志分析也是发现异常登录行为和暴力破解的利器,应配合安全信息与事件管理(SIEM)系统进行实时告警。 网络防火墙和入侵防御系统(IDS/IPS)的合理配置,可在攻击初期进行流量过滤,有效抵御大规模的暴力破解尝试。
针对托管于云服务商的Tomcat实例,可以借助云平台安全配置功能,限制管理端口的公网开放。 这次事件也与近期曝光的数万台安全摄像头安全漏洞形成呼应,显示现代网络设备大量暴露在不安全的互联网上,给攻击者提供了便利的入侵入口。安全摄像头的默认用户名密码未更改,远程访问未受限,导致监控画面被任意访问。类似问题亦存在于Tomcat等管理服务中。显然,安全意识仍需提升,设备和服务的合理配置、安全更新与定期审计尤为关键。 未来,随着自动化攻击工具的普及和人工智能驱动的攻击策略升级,暴力破解及侦察行为预计将更加隐蔽且高效。
企业需要依托全面的网络安全防御体系,整合身份管理、终端安全、网络隔离和安全运维,形成纵深防御能力。 定期评估Tomcat及相关中间件的风险面,及时应用安全补丁和升级版本,对确保业务连续性至关重要。同时,强化员工的安全意识培训,防止凭据泄露和社会工程学攻击同样不可忽视。 此次295个恶意IP协同发起的暴力破解攻击事件,为所有运行Apache Tomcat管理服务的组织敲响了警钟。提升整体防御能力、合理部署安全机制以及持续监测可疑行为,是抵御此类安全威胁的有效措施。在不断演变的网络攻击形势下,主动防御和快速响应能力将成为企业信息安全防线的基石。
。
