La firma de inteligencia de amenazas Greynoise advirtió sobre una «actividad coordinada de fuerza bruta» dirigida a las interfaces del gerente de Apache Tomcat.
La compañía dijo que observó un aumento en los intentos de fuerza bruta e inicio de sesión el 5 de junio de 2025, una indicación de que podrían ser esfuerzos deliberados para «identificar y acceder a los servicios de Tomcat expuestos a escala».
Con ese fin, se ha encontrado que 295 direcciones IP únicas participan en intentos de fuerza bruta contra el gerente de Tomcat en esa fecha, con todas ellas clasificadas como maliciosas. En las últimas 24 horas, se han registrado 188 IP únicas, la mayoría de ellos ubicados en los Estados Unidos, el Reino Unido, Alemania, los Países Bajos y Singapur.
En una vena similar, se observaron 298 IP únicas al realizar intentos de inicio de sesión contra las instancias del gerente de Tomcat. De las 246 direcciones IP marcadas en las últimas 24 horas, todas ellas se clasifican como maliciosas y se originan en las mismas ubicaciones.
Los objetivos de estos intentos incluyen los Estados Unidos, el Reino Unido, España, Alemania, India y Brasil durante el mismo período de tiempo. Greynoise señaló que una parte significativa de la actividad provino de la infraestructura alojada por DigitalOcean (ASN 14061).
«Si bien no está vinculado a una vulnerabilidad específica, este comportamiento destaca el interés continuo en los servicios de Tomcat expuestos», agregó la compañía. «Una actividad amplia y oportunista como esta a menudo sirve como una advertencia temprana de la explotación futura».
Para mitigar cualquier riesgo potencial, se recomiendan organizaciones con interfaces de gerente de Tomcat expuestas para implementar fuertes restricciones de autenticación y acceso, y controlar cualquier signo de actividad sospechosa.
La divulgación se produce cuando Bitsight reveló que encontró más de 40,000 cámaras de seguridad abiertamente accesibles en Internet, lo que puede permitir que cualquier persona acceda a los videos en vivo capturados por estos dispositivos a través del HTTP o el Protocolo de transmisión en tiempo real (RTSP). Las exposiciones se concentran en los Estados Unidos, Japón, Austria, Checia y Corea del Sur.
El sector de telecomunicaciones representa el 79%de las cámaras expuestas, seguidas de tecnología (6%), medios de comunicación (4.1%), servicios públicos (2.5%), educación (2.2%), servicios comerciales (2.2%) y gobierno (1.2%).
Las instalaciones van desde las instaladas en residencias, oficinas, sistemas de transporte público y configuraciones de fábrica, con fuga inadvertida de información confidencial que luego podría explotarse para espionaje, acoso y extorsión.
Se recomienda a los usuarios que cambien los nombres de usuario y contraseñas predeterminados, deshabiliten el acceso remoto si no es necesario (o restringe el acceso con firewalls y VPN), y mantenga actualizado el firmware.
«Estas cámaras, destinadas a la seguridad o la conveniencia, se han convertido inadvertidamente en ventanas públicas en espacios sensibles, a menudo sin el conocimiento de sus propietarios», dijo el investigador de seguridad João Cruz en un informe compartido con Hacker News.
«No importa la razón por la cual un individuo u organización necesita este tipo de dispositivo, el hecho de que cualquiera pueda comprar uno, enchufarlo y comenzar a transmitir con una configuración mínima es probablemente por qué esta es una amenaza continua».
