CVE-2025-24813 탐지: Apache Tomcat 원격 코드 실행 취약점 실전 악용

새로 드러난 RCE Apache Tomcat의 취약성이 공개된 지 30시간만에 PoC가 발표되고 나서 활발히 악용되고 있습니다. CVE-2025-24813이 성공적으로 악용되면 공격자는 안전하지 않은 역직렬화를 활용하여 타겟 시스템에서 원격으로 코드를 실행할 수 있는 권한을 가지게 됩니다.

CVE-2025-24813 악용 시도 탐지

무기로 활용되는 CVE가 급증함에 따라, 사전 위협 탐지는 그 어느 때보다 중요해지고 있습니다. 2025년이 시작되면서 NIST NVD는 이미 10,451개의 새로운 보안 취약점을 문서화하였으며, 그 중 다수는 실제 공격에서 적극적으로 악용되었습니다. 사이버 위협이 지속적으로 진화함에 따라 전 세계 보안 팀은 악용 시도를 앞서 감지하고 위험을 효과적으로 완화하기 위해 초기 탐지 전략에 집중해야 합니다.

신뢰할 수 있는 SOC Prime 플랫폼 을 통해 집단 사이버 방어를 위해 액티브 위협에 대한 큐레이션된 탐지 콘텐츠를 얻고, 고급 위협 탐지 및 사냥을 위한 완벽한 제품군을 지원받습니다.

잠재적 CVE-2025-24813 (Apache Tomcat RCE) 악용 시도 (웹 서버를 통해)

탐지는 공개된 PoC를 기반으로 하며, 공격자가 취약한 애플리케이션에 초기 접근을 얻기 위한 가능성 있는 CVE-2025-24813 악용 시도를 식별하는 데 도움이 됩니다. 이 규칙은 22개의 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며, 초기 접근 전술 및 해당되는 Exploit Public-Facing Application (T1190) 기술을 다루는 MITRE ATT&CK과 일치합니다.

또한 보안 전문가들은 아래의 탐지 탐색 버튼을 눌러 Apache Tomcat RCE 악용을 해결할 새로운 규칙이 가능할지 확인할 수 있습니다.

탐지 탐색

인기 있는 취약점을 무기로 사용하여 사이버 공격을 감지하기 위한 더 관련성 높은 콘텐츠를 찾고자 하는 사이버 방어자는 ‘CVE‘ 태그로 Threat Detection Marketplace에서 전체 관련 탐지 스택을 접근할 수 있습니다.

CVE-2025-24813 분석

방어자들은 Apache Tomcat에서 새로운 취약점을 발견했습니다. CVE-2025-24813로 추적된 이 치명적인 RCE 결함은 CVSS 점수가 9.8에 도달하며 야생 공격에서 활발히 악용되고 있습니다. PoC 익스플로잇 코드 가 GitHub에 공개됨으로써 공격자들이 PUT API 요청을 통해 서버를 제어할 수 있게 됩니다. 이는 일반적으로 기존 리소스를 업데이트하는 데 사용됩니다. 기본 서블릿이 쓰기를 허용하고, 부분 PUT이 활성화되어 있고, 민감한 파일이 공공 업로드 위치의 공개 하위 디렉터리에 업로드되고, 공격자가 이러한 파일 이름을 알고 있을 경우 RCE 또는 데이터 노출이 발생할 수 있습니다. 또한 위 조건 외에도, 애플리케이션이 Tomcat의 파일 기반 세션 지속성을 기본 저장 위치로 사용하고 역직렬화 공격에 취약한 라이브러리를 포함한 경우 이 결함은 무기화될 수 있습니다. 보안 문제는 소프트웨어 버전 11.0.0-M1에서 11.0.2, 10.1.0-M1에서 10.1.34, 그리고 9.0.0-M1에서 9.0.98을 포함합니다.

GreyNoise 연구자들은 다섯 개의 서로 다른 IP 주소에서 의 악용 시도를 관찰했으며, 대부분의 공격은 미국, 일본, 인도, 한국, 멕시코의 시스템을 대상으로 하며, 세션의 70% 이상이 미국 기반 시스템을 겨냥하고 있습니다. 이는 잠재적으로 취약한 소프트웨어가 사용 중일 경우 조직의 CVE-2025-24813 악용 시도 노출 위험을 증가시킵니다.

잠재적 CVE-2025-24813 완화 조치로서 악용 시도의 위험을 줄이기 위해 벤더는 즉시 Apache Tomcat 11.0.3 이상, Apache Tomcat 10.1.35 이상 또는 Apache Tomcat 9.0.99 이상으로 업데이트를 권장합니다. 공격 표면이 지속적으로 확대되고 CVE 악용을 활용한 사이버 공격 수가 증가함에 따라 글로벌 조직들은 방어를 강화하기 위해 노력하고 있습니다. SOC Prime은 최신 위협에 맞서 보안 팀에 첨단 기술을 제공하기 위해 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 고급 위협 탐지를 위한 완벽한 제품군 을 큐레이션합니다. for AI-powered detection engineering, automated threat hunting, and advanced threat detection to provide security teams with cutting-edge technologies against emerging threats no matter their scale and sophistication.