Kant's IT/Vulnerability

Apache Tomcat RCE 취약점(CVE-2025-24813) 악용 분석 및 대응 방안

Kant Jo 2025. 4. 21. 15:30

Threat actors rapidly exploit new Apache Tomcat flaw following PoC release

 

Threat actors rapidly exploit new Apache Tomcat flaw following PoC release

Threat actors began exploiting a recently disclosed Apache Tomcat vulnerability immediately after the release of a PoC exploit code.

securityaffairs.com

 

Exploit Code for Apache Tomcat RCE Vulnerability Published on Chinese Forum

 

Apache Tomcat Vulnerability Actively Exploited Just 30 Hours After Public Disclosure

 

CVE-2025-24813: Apache Tomcat Vulnerability | ThreatLabz

 

CVE-2025-24813: Apache Tomcat Vulnerability | ThreatLabz

Learn about CVE-2025-24813, an Apache Tomcat vulnerability enabling remote code execution (RCE). Update to the latest version to prevent exploitation.

www.zscaler.com

 

Apache Tomcat Vulnerability Exploited to execute Malicious arbitrary code on servers

 

Apache Tomcat Vulnerability Exploited to execute Malicious arbitrary code on servers

A critical remote code execution (RCE) vulnerability, tracked as CVE-2025-24813, is being actively exploited in Apache Tomcat servers.

gbhackers.com

 

U.S. CISA adds Apache Tomcat flaw to its Known Exploited Vulnerabilities catalog

 

U.S. CISA adds Apache Tomcat flaw to its Known Exploited Vulnerabilities catalog

U.S. Cybersecurity and Infrastructure Security Agency (CISA) adds Apache Tomcat flaw to its Known Exploited Vulnerabilities catalog.

securityaffairs.com

 

  • 취약점 개요
    • CVE-2025-24813은 Apache Tomcat의 경로 동등성(Path Equivalence) 처리 취약점으로, 특정 설정이 활성화된 경우 원격 코드 실행(RCE) 또는 민감 정보 노출이 발생할 수 있음
    • 영향을 받는 버전은 다음과 같음
      • 11.0.0-M1 ~ 11.0.2
      • 10.1.0-M1 ~ 10.1.34
      • 9.0.0-M1 ~ 9.0.98
    • 패치 버전: 11.0.3, 10.1.35, 9.0.99
  • 악용 조건
    • 기본 서블릿(DefaultServlet)에 쓰기 허용 설정이 되어 있어야 함(readonly="false")
    • Partial PUT 기능이 활성화되어 있어야 함(기본 활성화 상태)
    • 민감 파일 업로드 경로가 공개 업로드 경로의 하위 디렉토리에 있어야 함
    • 공격자가 민감 파일 이름을 알고 있어야 하며, Partial PUT으로 업로드하고 있어야 함
    • 추가로, RCE가 가능한 조건은 다음을 포함함
      • Tomcat이 파일 기반 세션 저장(file-based session persistence)을 사용하고 있어야 함
      • 애플리케이션에 역직렬화 취약 라이브러리가 포함되어 있어야 함
  • 공격 흐름 및 PoC 분석
    • 1단계: 공격자는 PUT 요청을 통해 base64로 인코딩된 악성 Java 직렬화 객체를 Tomcat의 세션 디렉토리에 저장
    • 2단계: JSESSIONID가 포함된 GET 요청을 전송하여 해당 세션을 역직렬화하면서 악성 코드가 실행되어 원격 접근 획득
    • 공개된 PoC는 중국 포럼 사용자(iSee857)에 의해 작성되었으며 GitHub에 공유됨
    • 공격은 인증 없이 실행 가능하며 탐지 우회를 위해 base64 인코딩을 사용함
  • 탐지 우회 및 대응 어려움
    • 대부분의 웹 애플리케이션 방화벽(WAF)은 PUT 요청에서 악성 행위를 탐지하지 못하며, 다단계 공격 흐름을 추적하지 않음
    • 역직렬화 시점에 실행되므로, 공격과 실행이 시간상 분리되어 탐지 지연 발생
  • 실세계 악용 현황
    • 3월 11일 폴란드에서 최초 악용 확인, PoC 공개 이후 30시간 내 대규모 악용 시작
    • GreyNoise에 따르면 중국, 독일, 이탈리아, 라트비아, 미국에서 유포 시도 관찰됨
    • 미국, 일본, 인도, 한국, 멕시코 대상 공격 집중, 70%가 미국 시스템 타깃
    • 미국 CISA는 2025년 4월 1일 KEV(악용된 취약점 목록)에 해당 취약점을 등록하고, 연방기관에 4월 22일까지 패치 명령
  • 대응 방안
    • Apache Tomcat을 9.0.99, 10.1.35, 11.0.3 이상으로 즉시 업데이트
    • conf/web.xml에서 readonly="true"로 설정해 DefaultServlet의 쓰기 비활성화
    • Partial PUT 기능 비활성화
    • 세션 파일 기반 저장 방식 대신 메모리 기반 저장 방식으로 변경
    • 역직렬화 라이브러리 검토 및 불필요한 라이브러리 제거
    • WAF 및 SIEM에서 PUT 요청 및 JSESSIONID를 포함한 이례적 접근 모니터링
    • 악성 JSP 업로드 탐지 및 백도어 파일 탐색
  • 시사점
    • 단일 PUT 요청만으로 인증 없이 RCE가 가능하다는 점에서 매우 위험한 구조적 취약점
    • 기존 중간 수준 취약점이 실제 환경에서는 치명적인 결과를 유발할 수 있으므로 위험 기반 우선순위 설정이 필요
    • 세션 저장소, 역직렬화 체계, PUT 요청 정책 등 웹 애플리케이션 환경 전반의 구조적 보안 검토 필요
    • 보안 솔루션의 다단계 공격 탐지 기능 고도화 필요
저작자표시 비영리 변경금지 (새창열림)