据网络安全公司GreyNoise观察,近期有数百个独特IP地址参与了一项针对Apache Tomcat Manager界面的协调暴力破解攻击活动。这些攻击旨在通过互联网获取Tomcat服务的访问权限。该公司的分析师发现,从6月5日开始,有两个主要活动使用了几乎300个标记为恶意的IP地址试图登录暴露在网上的Tomcat服务。此外,还有250个恶意IP地址参与了尝试数千甚至数百万种可能凭证的暴力破解攻击。
GreyNoise建议那些在线暴露Tomcat管理接口的组织确保其具有强大的身份验证和访问限制,并检查安全日志以发现任何可疑的登录活动,及时阻止可能导致攻击的IP地址。