문의하기
블로그

CVE-2025-24813: Apache Tomcat 의 원격 코드 실행 및 정보 유출 취약점

최근 Apache Tomcat 에서 새로운 취약점 CVE-2025-24813이 발견되었다. 이 취약점은 원격 코드 실행(RCE), 정보 유출, 또는 파일 손상을 유발할 가능성이 있으며,

2025. 03. 25.

최근 Apache Tomcat 에서 새로운 취약점 CVE-2025-24813이 발견되었다. 이 취약점은 원격 코드 실행(RCE), 정보 유출, 또는 파일 손상을 유발할 가능성이 있으며, 공격자가 특정 조건을 충족할 경우 악성 코드를 실행하거나 보안이 중요한 파일을 열람 및 수정할 수 있다. Apache Software Foundation은 긴급 보안 권고를 발표하고, 영향을 받는 버전의 사용자들에게 즉각적인 보안 패치를 적용할 것을 촉구했다. 이번 글에서는 CVE-2025-24813의 개요와 실제 공격 사례를 살펴보고, Criminal IP Asset Search를 활용하여 인터넷에 노출된 Apache Tomcat 서버를 식별하는 방법과 취약점 악용을 예방하는 방법에 대해 알아보겠다.

CVE-2025-24813 취약점: Path Equivalence와 Partial PUT가 원인

Apache Tomcat은 널리 사용되는 오픈소스 웹 애플리케이션 서버로, CVE-2025-24813은 Apache Tomcat의 경로 동등성 문제(Path Equivalence)와 부분적 PUT 요청(Partial PUT) 기능에서 발생하는 취약점이다. 이 취약점은 파일명(file.Name)과 같은 내부 점(dot)을 통해 파일 경로를 조작할 수 있게 해주며, 이를 통해 원격 코드 실행 및 정보 유출, 악성 콘텐츠가 업로드 된 파일을 만들 수 있다. 특히, Tomcat의 기본 서블릿(Default Servlet)에서 쓰기 권한이 활성화된 경우 이 취약점이 악용될 수 있다.

영향을 받는 버전

Apache Software Foundation은 다음 버전이 CVE-2025-24813의 영향을 받을 수 있다고 발표했다:

  • Apache Tomcat 11: 11.0.0-M1부터 11.0.2까지 
  • Apache Tomcat 10: 10.1.0-M1부터 10.1.34까지 
  • Apache Tomcat 9: 9.0.0.M1부터 9.0.98까지 

이 버전들은 Partial PUT이 활성화된 환경에서 취약점이 발생할 수 있으므로, 사용자는 즉시 최신 버전으로 업데이트해야 한다. 정확한 버전 정보 및 업데이트 내용은 Apache 공식 보안 공지에서 확인 가능하다.

공격이 가능한 조건

CVE-2025-24813이 악용될 경우, 두 가지 주요 공격 시나리오가 발생할 수 있다.

  1. 정보 유출 및 데이터 손상:
    • 기본 서블릿에서 쓰기 권한이 활성화된 경우.
    • Partial PUT 지원.
    • 민감한 파일 업로드 대상 URL이 공개 업로드 URL의 하위 디렉터리일 경우.
    • 공격자는 업로드 된 보안 민감 파일의 이름을 알고 있어야 하며, 해당 파일은 Partial PUT을 통해 업로드.
  2. 원격 코드 실행(RCE):
    • 기본 서블릿에서 쓰기 권한이 활성화된 경우.
    • Partial PUT 지원.
    • 애플리케이션이 Tomcat의 파일 기반 세션 지속성을 사용하고 기본 저장 위치를 사용하는 경우.
    • 애플리케이션에 역직렬화 공격을 활용할 수 있는 취약한 라이브러리가 포함된 경우.

이러한 조건이 모두 충족될 경우, 공격자는 원격 코드 실행을 통해 서버를 제어하거나 시스템에 악성 코드를 실행할 수 있다. 

Criminal IP Asset Search를 활용한 노출된 Apache Tomcat 서버 탐색

CVE-2025-24813에 취약한 버전과 PoC가 공개된 만큼 사용중인 Apache Tomcat 서버가 취약한 버전인지, 공격 시나리오의 조건을 갖추고 있는지 점검하는 것이 중요하다. Apache Tomcat 의 버전 정보는 Criminal IP Asset Search를 활용하여 쉽게 확인할 수 있다. 아래 3가지 쿼리를 사용하면 인터넷에 노출된 Apache Tomcat 서버를 탐색할 수 있으며, 탐지된 서버의 버전 정보를 확인할 수 있다.

외부에 노출된 Apache Tomcat 서버 검색 쿼리

Criminal IP Search Query: title: Apache Tomcat/9

Criminal IP Asset Search에 Title: Apache Tomcat/9 를 검색한 결과
Criminal IP Asset Search에 Title: Apache Tomcat/9 를 검색한 결과

Criminal IP Asset Search에 “title: Apache Tomcat/9” 를 검색한 결과에 따르면, 2025년 3월 19일 기준으로 인터넷에 노출된 Apache Tomcat/9 서버는 총 237,907건이었다.

Criminal IP Search Query: title: Apache Tomcat/10

Criminal IP Asset Search에 Title: Apache Tomcat/10 을 검색한 결과
Criminal IP Asset Search에 Title: Apache Tomcat/10 을 검색한 결과

Criminal IP Asset Search에 “title: Apache Tomcat/10” 을 검색한 결과에 따르면, 2025년 3월 19일 기준으로 인터넷에 노출된 Apache Tomcat/10 서버는 총 14,358건이었다.

Criminal IP Search Query: title: Apache Tomcat/11

Criminal IP Asset Search에 Title: Apache Tomcat/11 을 검색한 결과
Criminal IP Asset Search에 Title: Apache Tomcat/11 을 검색한 결과

Criminal IP Asset Search에 “title: Apache Tomcat/11” 을 검색한 결과에 따르면, 2025년 3월 19일 기준으로 인터넷에 노출된 Apache Tomcat/11 서버는 총 3,770건이었다.

Apache Tomcat 취약점을 다수 보유한 IP 주소, PoC가 공개된 취약점도 탐지되었다
Apache Tomcat 취약점을 다수 보유한 IP 주소, PoC가 공개된 취약점도 탐지되었다

Criminal IP Asset Search를 활용한 검색 결과에 따르면, 2025년 3월 19일 기준으로 수 십만 개의 Apache Tomcat 서버가 인터넷에 노출되어 있다. IP주소 리포트에서는 노출된 Apache Tomcat 서버의 버전을 간단히 확인할 수 있으며, 탐지된 서버들 가운데에는 9.0.33, 10.1.7, 11.0.0 등 앞서 소개한 CVE-2025-24813에 취약한 버전들이 다수 발견되었다. 특정 IP 주소 리포트를 확인해보니 CVE-2025-24813 뿐만 아니라 2021년부터의 Apache Tomcat CVE가 다수 발견된 IP 주소도 발견할 수 있었다. 이 중에는 GitHub PoC가 공개되어, 취약점 악용의 가능성이 높은 취약점도 발견되었다.

FAQ – 자주 묻는 질문

Q1. CVE-2025-24813 취약점이 모든 Apache Tomcat 버전에 영향을 미치나요?

이 취약점은 Apache Tomcat 9, 10, 11의 특정 버전에만 영향을 미치고 있다.

  • Apache Tomcat 11: 11.0.0-M1부터 11.0.2까지 
  • Apache Tomcat 10: 10.1.0-M1부터 10.1.34까지 
  • Apache Tomcat 9: 9.0.0.M1부터 9.0.98까지 

자세한 취약점 CVE-2025-24813의 영향 범위는 Apache 공식 보안 공지 참고하여 확인할 수 있다.

Q2. 추가 보안 패치 및 완화 조치는 무엇인가요?

Apache Software Foundation은 보안 패치를 발표했으며, 취약점이 있는 시스템을 운영하는 조직은 다음과 같은 조치를 취하여 보안을 강화할 수 있다.

  • 최신 보안 업데이트 적용: Apache Tomcat의 최신 버전으로 즉시 업데이트
  • 기본 서블릿 쓰기 권한 비활성화: DefaultServlet의 쓰기 권한을 해제하여 공격 벡터를 차단
  • Partial PUT 기능 비활성화: 불필요한 경우 Partial PUT 기능을 비활성화하여 보안 강화
  • 네트워크 접근 제한: 방화벽 설정을 조정하여 외부에서 Apache Tomcat 관리 인터페이스에 접근하지 못하도록 설정
  • 로그 모니터링 및 탐지 강화: 비정상적인 요청을 감지하고, 보안 이벤트를 신속히 대응
  • 공격 표면 관리(ASM) 활용: Criminal IP ASM을 활용하여 Apache Tomcat의 취약 버전 및 서버의 위협 요소를 빠르게 식별하고 위협을 예방

결론

CVE-2025-24813은 Apache Tomcat 서버를 운영하는 조직에게 심각한 보안 위협이 될 수 있다. 따라서, 신속한 보안 패치 적용과 네트워크 접근 제한 등의 사전 예방 조치가 필수적이다. 또한, 사이버 위협 인텔리전스 검색엔진 Criminal IP와 공격 표면 관리 솔루션 Criminal IP ASM을 활용하여 지속적인 공격 표면 모니터링 및 자동 탐지 기능을 적용하는 것이 중요하다. Apache Tomcat 사용자는 이를 바탕으로 빠르게 대응하고, 지속적으로 보안 상태를 점검하여 유사한 위협을 방지할 수 있어야 한다.

관련하여 CVE-2024-53900 & CVE-2025-23061: 몽구스 노출의 보안 위협과 대책 글을 참고할 수 있다.

데이터 출처: Criminal IP (https://www.criminalip.io/ko), ASF security updates (https://tomcat.apache.org/security.html), Hawkeye (https://hawk-eye.io/2025/03/critical-remote-code-execution-rce-vulnerability-in-apache-tomcat-cve-2025-24813/), NHS England (https://digital.nhs.uk/cyber-alerts/2025/cc-4633), NIST (https://nvd.nist.gov/vuln/detail/CVE-2025-24813)

관련 글 : 

https://www.criminalip.io/ko/knowledge-hub/blog/26437