A principios de junio de 2025, la unidad de investigación de SILIKN confirmó una campaña de ataque coordinado a gran escala dirigida contra interfaces de administración de Apache Tomcat en todo el mundo, incluyendo México. Este incidente involucró a alrededor de 390 direcciones IP únicas que realizaron intentos de acceso y ataques de fuerza bruta, representando una escalada significativa en los esfuerzos de los ciberatacantes por explotar servidores de aplicaciones web.
Entre los sitios potencialmente vulnerables se encuentran 2,298 plataformas gubernamentales mexicanas que utilizan tecnologías Apache y Apache Tomcat, como aquellos alojados bajo el dominio gob.mx.
La unidad de investigación de SILIKN describió dos patrones de ataque distintos pero relacionados:
– Intento de fuerza bruta al Tomcat Manager: se registraron 225 direcciones IP únicas ejecutando ataques sistemáticos de adivinanza de contraseñas. Este patrón, etiquetado como “Tomcat Manager Brute Force Attempt”, indica un esfuerzo concertado por comprometer credenciales administrativas.
– Intentos de acceso al Tomcat Manager: un total de 277 direcciones IP intentaron acceder a las interfaces administrativas de Tomcat.
La naturaleza coordinada de la campaña sugiere una planificación sofisticada, con una concentración notable de actividad maliciosa originada en la infraestructura de DigitalOcean. Los atacantes aprovecharon la facilidad de aprovisionamiento rápido de recursos en este proveedor de servicios en la nube. Las IPs involucradas provienen de países como Estados Unidos, Reino Unido, Alemania, Países Bajos y Singapur, lo que evidencia la escala global del ataque.
El ataque coincide con la explotación activa de una vulnerabilidad crítica en Apache Tomcat (CVE-2025-31650), un fallo de fuga de memoria en la implementación de HTTP/2 que permite ataques de denegación de servicio (DoS). Esta vulnerabilidad afecta a las versiones 9.0.76–9.0.102, 10.1.10–10.1.39 y 11.0.0-M2–11.0.5, y ya circula un exploit público que aprovecha encabezados de prioridad malformados para agotar la memoria del servidor, dejándolo inoperable en minutos.
Además, la combinación de campañas de fuerza bruta y explotación de vulnerabilidades sugiere que los atacantes buscan interrumpir servicios, así como obtener acceso administrativo para realizar acciones más dirigidas, como la instalación de malware o el robo de datos.
El análisis de la unidad de investigación de SILIKN revela que numerosos sitios web bajo el dominio gob.mx, al menos 2,298, que utilizan tecnologías Apache y Apache Tomcat, están en riesgo. Estas plataformas, que incluyen sitios gubernamentales mexicanos críticos, podrían ser objetivos debido a su exposición en internet y la posible falta de parches de seguridad actualizados. La interfaz de administración de Apache Tomcat, si no está protegida adecuadamente, representa un punto de entrada ideal para los atacantes. En este sentido, entre las dependencias que se encuentran en riesgo están:
Centro Nacional de las Artes, Secretaría de Medio Ambiente y Recursos Naturales, Servicio de Administración Tributaria (SAT), Ayuntamiento de Playa del Carmen en el Estado de Quintana Roo, Secretaría de Educación Pública, Poder Judicial del Estado de Chiapas, Municipio de Atotonilco el Grande en el Estado de Hidalgo, Alcaldía Álvaro Obregón en la Ciudad de México, Consejo Nacional de Normalización y Certificación de Competencias Laborales, Gobierno del Estado de Puebla, Secretaría de Seguridad y Protección Ciudadana, Municipio de Chapala en el Estado de Jalisco, Biodiversidad Mexicana, Alcaldía de Cuajimalpa en la Ciudad de México,Secretaría de Cultura del Estado de Guerrero, Servicio Geológico Mexicano, entre otras.
Ante la gravedad de esta amenaza, las organizaciones que operan servidores Apache Tomcat, especialmente aquellas bajo el dominio gob.mx, deben tomar medidas inmediatas:
– Aplicar parches de seguridad: Actualizar Apache Tomcat a las versiones más recientes que corrigen CVE-2025-31650 y otras vulnerabilidades conocidas.
– Proteger interfaces administrativas: Restringir el acceso al Tomcat Manager mediante listas de control de acceso (ACL) y utilizar contraseñas robustas.
– Monitorear actividad sospechosa: Implementar sistemas de detección de intrusos para identificar intentos de fuerza bruta o accesos no autorizados.
– Revisar configuraciones de red: Limitar la exposición de servicios administrativos a internet y emplear firewalls para filtrar tráfico malicioso.
– Auditar infraestructura en la nube: Verificar que los recursos alojados en proveedores como DigitalOcean no estén siendo utilizados por ciberatacantes.
El ataque coordinado contra Apache Tomcat destaca la creciente sofisticación de los actores de amenazas y su interés en explotar infraestructuras críticas de aplicaciones web. Los sitios gubernamentales mexicanos bajo el dominio gob.mx enfrentan un riesgo significativo si no se implementan medidas de seguridad adecuadas. La ciberseguridad debe ser una prioridad para proteger datos sensibles y garantizar la continuidad de los servicios públicos en un entorno digital cada vez más hostil.
