개발 보안
D
dev_to
AI Store에서 AI코딩으로 만들어진 앱을 만나보세요!
지금 바로 방문하기

Windows에서 Apache Tomcat 원격 코드 실행 취약점 (CVE-2024-50379): 즉시 패치해야 할 경고

카테고리

인프라/DevOps/보안

서브카테고리

보안

대상자

- 시스템 관리자, DevOps 엔지니어

- Apache Tomcat 서버 운영자

- 난이도: 중간 이상 (취약점 원인, 패치 적용, 보안 대응 필요)

핵심 요약

  • CVE-2024-50379Windows 서버에서 원격 코드 실행(RCE)을 허용하는 심각한 취약점으로, 패치 적용이 즉각적으로 필요
  • 취약 조건: readonly 파라미터가 false, PUT 메서드 허용, Windows 플랫폼
  • 패치 대상 버전:
  • Apache Tomcat 11.0.0-M1 ~ < 11.0.2
  • Apache Tomcat 10.1.0-M1 ~ < 10.1.34
  • Apache Tomcat 9.0.0.M1 ~ < 9.0.98
  • 대응 조치:
  • conf/web.xmlreadonly 파라미터를 true로 설정 또는 주석 처리
  • PUT 메서드 비활성화
  • Web Application Firewall (WAF) 도입 (예: SafeLine)

섹션별 세부 요약

1. 취약점 개요

  • CVE-2024-50379은 Windows 파일 시스템의 대소문자 감도와 Tomcat의 경로 검증 로직 불일치로 인해 발생
  • 공격자는 .JSP 파일의 대소문자 변형을 이용해 Tomcat이 실행하도록 유도 가능
  • 공격 조건:
  • conf/web.xmlreadonlyfalse
  • PUT 메서드 허용
  • Windows 플랫폼

2. 공격 시나리오

  • 3단계 공격으로 서버 제어 가능:
  1. PUT 메서드를 통해 .jsp 파일 업로드
  2. 경쟁 조건을 이용해 반복 요청
  3. Tomcat이 파일 실행
  • 결과: 인증 없이 원격 코드 실행 (RCE) 가능 → 서버 완전 제어, 데이터 유출, 악성코드 배포

3. 취약 버전 및 패치

  • 패치 대상 버전:
  • Tomcat 11.0.0-M1 ~ < 11.0.2
  • Tomcat 10.1.0-M1 ~ < 10.1.34
  • Tomcat 9.0.0.M1 ~ < 9.0.98
  • 패치 버전:
  • Tomcat 11.0.2, 10.1.34, 9.0.98
  • 패치 다운로드: Apache Tomcat 공식 사이트

4. 대응 조치 및 방어 전략

  • 즉시 조치:
  • readonly 파라미터를 true로 설정 또는 주석 처리
  • PUT 메서드 비활성화
  • 내부망 노출 방지
  • 추가 보안:
  • SafeLine WAF 사용 (이상적인 .jsp 업로드 차단)
  • Yuntu, Dongjian, Quanxi 도구 활용 (취약점 탐지, 분석)

5. 취약점 공개 및 상태

  • 공개 일자: 2024년 12월 17일
  • 재현: Chaitin Security Lab, 2024년 12월 18일
  • 공개 POC/EXP: 존재
  • 공격자 활동: 취약한 시스템 탐색 중

결론

  • 즉시 Apache Tomcat 패치 적용 또는 PUT 메서드 비활성화, readonly 설정 변경이 필수
  • SafeLine WAF 도입을 통해 실시간 보호 가능
  • 취약점 정보: Apache Security Advisory, GitHub Repository, 공식 문서 참조
  • 중요: 공개된 POC/EXP로 인해 공격이 즉시 발생할 수 있음
Apache Tomcat CVE-2024-50379 RCE Windows security patch vulnerability remote code execution
목록으로 원문 보기