Apache Camel 원격 코드 실행 취약점(CVE-2025-27636, CVE-2025-29891) 분석 및 악용 탐지 사례

Apache Camel Exploit Attempt by Vulnerability Scan (CVE-2025-27636, CVE-2025-29891) - SANS Internet Storm Center

Apache Camel Exploit Attempt by Vulnerability Scan (CVE-2025-27636, CVE-2025-29891) - SANS Internet Storm Center

 

• 개요
  • Apache Camel에서 발견된 두 가지 보안 취약점(CVE-2025-27636, CVE-2025-29891)은 HTTP 헤더 처리의 대소문자 구분 오류로 인해 비인가 원격 코드 실행(RCE)이 가능
  • 기본 설정에서는 취약하지 않지만, 사용자 정의 구성을 사용하는 시스템은 영향 가능성 존재
  • 패치는 2025년 3월 초 적용되었으며, 현재까지는 주로 보안 점검 도구에 의해 탐지 목적의 요청이 관찰됨
• 기술적 세부사항
  • 취약점의 근본 원인은 Camel의 헤더 필터가 대소문자를 구분(case-sensitive) 하도록 설계된 반면, HTTP 헤더는 대소문자를 구분하지 않음
  • 공격자는 camelexeccommandargs, camelexeccommandexecutable과 같은 헤더를 소문자로 사용하여 필터 우회를 시도
  • 예시 요청에서 ping 명령이 내부 IP 대상으로 실행되며, 파라미터는 _OpenVASVT91380_로 디코딩되는 패턴 포함
  • 이 요청은 OpenVAS와 같은 보안 진단 툴에서 자동으로 생성한 것으로 추정
• 악용 시나리오
  • 공격자는 다음 조건에서 RCE를 유발 가능
    • 사용자 정의 Camel 구성에서 Exec 컴포넌트를 활성화하고 명령 실행 허용 설정이 되어 있음
    • HTTP 요청 내 악의적 명령을 헤더에 삽입하여 필터 우회 성공
  • 예시 요청
    • camelexeccommandexecutable: ping
    • camelexeccommandargs: -c 5 -p [payload]
  • 결과적으로 시스템 명령이 실행되고, 외부로의 정보 전송, 리버스 쉘 등 다양한 악성 행위가 가능
• 탐지된 활동 분석
  • 분석된 요청은 다음과 같은 특징으로 인해 공격보다는 보안 진단 도구의 테스트로 판단됨
    • 내부 IP 대상 요청
    • User-Agent에 보안 기업명 존재
    • 페이로드가 OpenVAS 진단 ID로 식별됨
  • 그러나 이 취약점은 악의적 공격자에 의해서도 쉽게 악용 가능하며, 실제 공격 시도 가능성이 존재
• 보안 권고
  • Apache Camel 사용자 대상 조치 사항
    • 버전 업데이트: 2025년 3월 패치 적용 여부 확인
    • 사용자 정의 Camel Route에서 Exec 컴포넌트 사용 시, 명령 실행 허용 헤더의 이름과 대소문자 일치 여부 검토
    • HTTP 요청 헤더를 정규화(normalization)하여 처리하는 필터 적용 권장
  • 네트워크 보안 운영자 대상
    • HTTP 헤더 기반 명령 실행 시도 탐지 룰 작성(SIEM, IDS 등에서 camelexeccommand 키워드 탐지)
    • 포렌식 대응을 위한 HTTP 트래픽 로깅 강화
    • 취약점 스캐너 탐지와 실제 악용을 구분하기 위한 정밀 분석 체계 필요
• 결론
  • HTTP 헤더 기반 취약점은 탐지가 어렵고 우회가 용이하므로, 기본 보안정책만으로는 방어가 불충분할 수 있음
  • 오픈소스 프레임워크 구성 시, 기본 설정을 신뢰하지 말고 보안 구성을 명시적으로 검토해야 함
  • 내부 네트워크 보안 진단 도구의 악용 가능성까지 고려한 경계 강화 필요