Apache Camel の脆弱性 CVE-2025-27636 が FIX:PoC とスキャン・スクリプトの提供

Apache Camel Vulnerability (CVE-2025-27636) Exposes Applications to RCE, PoC Releases

2025/03/12 SecurityOnline — 先日に修正された Apache Camel Java ライブラリの脆弱性 CVE-2025-27636 だが、セキュリティ研究者たちによる精査が行われ、Akamai Security Intelligence Group が詳細な分析を提供している。最初のレポートでは、その深刻さが軽視されていたようであり、リモート・コード実行を含む壊滅的な結果という可能性が、Akamai の分析では強調されている。

Apache Camel は、広く使用さる OSS 統合フレームワークであり、各種のシステム/アプリケーション/クラウド・サービス間での、シームレスなデータ交換を可能にするものだ。重要なビジネス・ワークフロー/API 統合/マイクロサービス・オーケストレーションなどにおける、Camel の普遍性を考慮すると、この脆弱性は、ユーザー組織にとって深刻な懸念事項となる。

この脆弱性の原因は、Camel におけるリクエスト・ヘッダーの不適切なフィルタリングにある。Apache Camel では、外部へ向けた内部ヘッダーの転送をブロックするために、DefaultHeaderFilterStrategy.java が用いられている。それは、機密ルーティング情報の漏洩を防ぐための、重要なセキュリティ対策となっている。

Akamai の分析は、「修正前の Apache Camel は、大文字と小文字を区別するフィルタリング・ルールを使用していた。つまり、内部ヘッダー名の大文字と小文字が正確に一致する場合にのみ、そのヘッダーはフィルタリングされていた。 そのため、大文字と小文字を変更する攻撃者が、たとえば CAmelHttpUri や CAMELHttpResponseCode を使用する場合には、対象となるヘッダーはフィルタリングされない」と指摘している。

この、大文字と小文字を区別してしまうという欠陥により、攻撃者がリクエストに挿入した任意のヘッダーは、Camel により内部コンポーネントへと転送されてしまう。Apache の指摘は、この脆弱性により、すべての内部メソッドへのアクセスが許可されるわけではないというものだが、”Bean URI” で宣言された “Bean” 内にあるメソッドに、攻撃者はアクセスできてしまう。

Akamai の調査では、悪用の容易さが強調されている。つまり、この脆弱性の悪用は、きわめて簡単なのである。それを実証するために、彼らはリモートで悪用できる、脆弱なサンプル・アプリケーションを作成した。そのアプリケーションは、”whoami” コマンドを実行するように設計されており、大文字と小文字を入れ替えたヘッダーを挿入することで、任意のコマンド実行を操作できる。この欠陥の、PoC エクスプロイト・コードは、Github で入手できる

Exploiting CVE-2025-27636 by including the CAmelExecCommandExecutable header
Image: Akamai

Apache は、大文字と小文字の統一を強制する仕様を採用し、この脆弱性に対処した。この修正では、フィルタリング前に、すべてのヘッダー名が小文字に変換され、大文字と小文字を操作する攻撃者の、フィルター・バイパスを効果的に防ぐようになった。

ただし、脆弱なアプリケーションの特定は、依然として残される課題である。なぜなら、Apache Camel は多種多様な場所で統合されているため、幅広い資産を評価する必要性が、セキュリティ・チームに生じているからだ。さらに、このライブラリに対して間接的に依存するアプリケーションも、特定すべき対象に含まれる。

この検出を支援するために、Akamai が開発したのは、ディレクトリを再帰的にスキャンし、Apache Camel JAR ファイルを検出し、潜在的に脆弱なアプリケーションを出力する、PowerShell スクリプトおよび Bash スクリプトである。

Apache Camel を使用している組織に対して、Akamai が強く推奨するのは、以下の項目である:

  • 迅速なパッチ適用:脆弱性が修正されているバージョンである、4.10.2/4.8.5/3.22.4 へと、速やかにアップグレードする。
  • 脆弱なアプリケーションの特定:Akamai が提供するスクリプトなどを用いて、Apache Camel の脆弱なインスタンスをスキャンして特定する。
  • パッチ適用の優先順位:悪用の容易さと潜在的な影響を考慮して、脆弱な Apache Camel システムに対するパッチ適用を優先し、リモート・コード実行のリスクを軽減する。

Apache Camel の脆弱性 CVE-2025-27636 に対する、PoC エクスプロイトが公開されました。この脆弱性の悪用はきわめて容易であるとのことですので、ご利用のチームは、パッチの適用を、お急ぎください。よろしければ、Apache で検索も、ご参照下さい。