La firma de inteligencia de amenazas Greynoise advirtió sobre una “actividad coordinada de fuerza bruta” dirigida a las interfaces del administrador de Apache Tomcat.
La compañía dijo que observó un aumento en los intentos de fuerza bruta e inicio de sesión el 5 de junio de 2025, una indicación de que podrían ser esfuerzos deliberados para “identificar y entrar a los servicios de Tomcat expuestos a escalera”.
Con ese fin, se ha contrario que 295 direcciones IP únicas participan en intentos de fuerza bruta contra el administrador de Tomcat en esa plazo, con todas ellas clasificadas como maliciosas. En las últimas 24 horas, se han registrado 188 IP únicas, la mayoría de ellos ubicados en los Estados Unidos, el Reino Unido, Alemania, los Países Bajos y Singapur.
En una vena similar, se observaron 298 IP únicas al realizar intentos de inicio de sesión contra las instancias del administrador de Tomcat. De las 246 direcciones IP marcadas en las últimas 24 horas, todas ellas se clasifican como maliciosas y se originan en las mismas ubicaciones.
Los objetivos de estos intentos incluyen los Estados Unidos, el Reino Unido, España, Alemania, India y Brasil durante el mismo período de tiempo. Greynoise señaló que una parte significativa de la actividad provino de la infraestructura alojada por DigitalOcean (ASN 14061).
“Si perfectamente no está vinculado a una vulnerabilidad específica, este comportamiento destaca el interés continuo en los servicios de Tomcat expuestos”, agregó la compañía. “Una actividad amplia y oportunista como esta a menudo sirve como una advertencia temprana de la explotación futura”.
Para mitigar cualquier peligro potencial, se recomiendan organizaciones con interfaces de administrador de Tomcat expuestas para implementar fuertes restricciones de autenticación y ataque, y controlar cualquier signo de actividad sospechosa.
La divulgación se produce cuando Bitsight reveló que encontró más de 40,000 cámaras de seguridad abiertamente accesibles en Internet, lo que puede permitir que cualquier persona acceda a los videos en vivo capturados por estos dispositivos a través del HTTP o el Protocolo de transmisión en tiempo efectivo (RTSP). Las exposiciones se concentran en los Estados Unidos, Japón, Austria, Checia y Corea del Sur.
El sector de telecomunicaciones representa el 79%de las cámaras expuestas, seguidas de tecnología (6%), medios de comunicación (4.1%), servicios públicos (2.5%), educación (2.2%), servicios comerciales (2.2%) y gobierno (1.2%).
Las instalaciones van desde las instaladas en residencias, oficinas, sistemas de transporte sabido y configuraciones de taller, con fuga inadvertida de información confidencial que luego podría explotarse para espionaje, acoso y molestia.
Se recomienda a los usuarios que cambien los nombres de adjudicatario y contraseñas predeterminados, deshabiliten el ataque remoto si no es necesario (o restringe el ataque con firewalls y VPN), y mantenga actualizado el firmware.
“Estas cámaras, destinadas a la seguridad o la conveniencia, se han convertido inadvertidamente en ventanas públicas en espacios sensibles, a menudo sin el conocimiento de sus propietarios”, dijo el investigador de seguridad João Cruz en un mensaje compartido con Hacker News.
“No importa la razón por la cual un individuo u ordenamiento necesita este tipo de dispositivo, el hecho de que cualquiera pueda comprar uno, enchufarlo y comenzar a transmitir con una configuración mínima es probablemente por qué esta es una amenaza continua”.
