Apache Tomcat遭到大規模攻擊，400個IP位址對其暴力破解、登入嘗試

網頁應用程式伺服器Apache Tomcat受到許多企業與雲端平臺採用，尤其適合小型應用及微服務架構，原因在於該此系統開源且占用資源少，廣泛支援Java網頁應用的特性。由於受到廣泛採用，也有攻擊者盯上這類伺服器的現象。

最近威脅情報業者GreyNoise揭露專門針對這種應用程式伺服器的大規模嘗試入侵活動，他們在6月5日發現約有400個IP位址被用於暴力破解或嘗試登入Tomcat的管理介面。這些IP位址主要來自主機代管業者DigitalOcean的基礎設施，其中有298個IP位址用於嘗試登入，250個IP位址用於暴力破解攻擊。從GreyNoise公布的IP位址數量來看，顯然有部分的IP位址同時用兩種類型的活動。

值得留意的是，雖然攻擊者並未鎖定Tomcat的弱點下手，但這波活動突顯他們對這種應用程式伺服器的高度興趣。由於這類活動往往是後續攻擊行動的前兆，攻擊者很可能會搭配其他資安弱點（例如今年3月公布的CVE-2025-24813）來進行，因此IT人員應儘速採取相關防禦措施因應，例如：限縮存取Tomcat管理介面的來源、採用多因素驗證，以及監控是否有異常的登入事件記錄等。