Apache Camel ist ein Open-Source-Integrationsframework, das zum Routen und Verarbeiten von Nachrichten verwendet wird. Es bietet eine Vielzahl von Komponenten, um verschiedene Integrationen zu erleichtern, darunter die camel-exec-Komponente, die die Ausführung von Befehlen ermöglicht. Alle bekannten HTTP-Komponenten von Camel, wie camel-servlet, camel-jetty, camel-undertow, camel-platform-http und camel-netty-http, sind standardmäßig anfällig. Kürzlich wurden Sicherheitslücken in mehreren Versionen von Apache Camel entdeckt, die Anwendungen für Remote Code Execution (RCE)-Angriffe anfällig machen könnten. Organisationen, die anfällige Versionen verwenden, müssen sofort handeln, um diese Risiken zu mindern.
| Produkt | Jetty – Apache Camel |
| Datum | 18.03.2025 11:29:24 |
| Informationen |
|
Technische Zusammenfassung
Es wurden zwei kritische Sicherheitslücken in der Exec-Komponente von Apache Camel identifiziert:
CVE-2025-27636: Filter-Bypass durch Case-Insensitive-Header
Apache Camel filtert bestimmte Header, um die unbefugte Ausführung von Befehlen zu verhindern. Aufgrund einer fehlerhaften Handhabung der Groß-/Kleinschreibung kann ein Angreifer diese Einschränkungen jedoch umgehen, indem er Header mit verschiedenen Kombinationen von Groß- und Kleinbuchstaben sendet (z. B. CAmelExecCommandExecutable). Dies ermöglicht es ihnen, vordefinierte statische Befehle zu überschreiben und beliebige Systembefehle auszuführen.
Beispiel für die Ausnutzung:
Ein Angreifer kann die Ausführung des statischen Befehls mithilfe einer speziell erstellten Anfrage überschreiben:
curl "http://target-site.com/vulnerable" --header "CAmelExecCommandExecutable: ls"
Der Server führt anstelle des vorgesehenen Befehls ls aus.
CVE-2025-29891: Parameter-Injection in der Query
Eine separate, aber verwandte Sicherheitslücke ermöglicht es Angreifern, Ausführungsbefehle über Query-Parameter einzuschleusen und so die vorgesehenen Filtermechanismen zu umgehen. Durch die Angabe des Parameters CAmelExecCommandExecutable kann ein Angreifer beliebige Befehle in den Ausführungsfluss injizieren.
Beispiel für die Ausnutzung:
curl "http://target-site.com/vulnerable?CAmelExecCommandExecutable=ls"
Dies führt zur willkürlichen Ausführung von Befehlen im Backend und setzt das System schwerwiegenden Sicherheitsrisiken aus.
Empfehlungen
Um diese Sicherheitslücken zu beheben, sollten betroffene Benutzer:
- Apache Camel aktualisieren: Stellen Sie sicher, dass die Installation auf Version 4.10.2 für 4.10.x LTS, 4.8.5 für 4.8.x LTS oder 3.22.4 für 3.x-Releases aktualisiert wurde.
- WAF-Regeln (Web Application Firewall) implementieren: Blockieren Sie verdächtige Header und Query-Parameter, die sich auf
CamelExecCommandExecutablebeziehen. - Ausführungsberechtigungen einschränken: Erlauben Sie die Ausführung von Befehlen nur dort, wo es unbedingt erforderlich ist.
- Logs und Alarme überwachen: Überprüfen Sie regelmäßig die Protokolle auf ungewöhnliche Befehlsausführungsmuster und richten Sie Alarme für potenzielle Ausnutzungsversuche ein.
[Callforaction-THREAT-Footer]
Leave a Reply