漏洞態勢分析

帕洛阿爾托網絡公司Unit 42團隊最新研究報告顯示，針對Apache Tomcat和Apache Camel關鍵漏洞的網絡攻擊正在全球激增。2025年3月披露的這三個遠程代碼執行（RCE, Remote Code Execution）漏洞——CVE-2025-24813（Tomcat）、CVE-2025-27636與CVE-2025-29891（Camel）——已為攻擊者提供了系統劫持的直接通道。

報告特別警告："成功利用這些漏洞可使攻擊者以Tomcat/Camel權限執行任意代碼"。監測數據顯示，僅2025年3月就記錄了來自70余個國家的125,856次掃描探測與漏洞利用嘗試。

技術細節剖析

Tomcat漏洞機制

當啟用部分PUT請求和會話持久化功能時，用于運行Java Web應用的Apache Tomcat（9.0.0.M1至9.0.98、10.1.0-M1至10.1.34及11.0.0-M1至11.0.2版本）存在HTTP PUT請求處理缺陷。攻擊者可借此覆蓋序列化會話文件，在反序列化時觸發惡意代碼執行。

典型攻擊分為兩個階段：

1. 載荷投遞：通過HTTP PUT請求上傳偽裝成.session文件的序列化惡意對象
2. 觸發執行：精心構造包含JSESSIONID=.[文件名]的HTTP GET請求，誘使Tomcat反序列化執行載荷

Camel漏洞成因

該中間件框架因HTTP頭部過濾機制存在大小寫敏感缺陷，攻擊者可通過畸形頭部注入惡意命令。例如未有效攔截"CAmelExecCommandExecutable"等變體頭部，導致遠程命令執行漏洞。

防御應對建議

Unit 42提出關鍵緩解措施：

• Tomcat配置：禁用partial PUT功能并啟用readonly設置
• Camel加固：嚴格校驗和凈化HTTP頭部輸入
• 威脅監測：使用專業工具檢測默認會話名濫用和可疑Content-Range頭部

安全團隊觀察到，大量Tomcat漏洞利用嘗試與開源工具Nuclei Scanner的模板高度相似，這意味著攻擊門檻顯著降低。目前相關補丁已發布，使用受影響組件的組織應立即更新。