0
0
Por Or Gozlan
Em 9 de março de 2025, a Apache divulgou um aviso de segurança sobre a CVE-2025-27636, uma vulnerabilidade no framework Apache Camel que permite que atacantes contornem a filtragem de cabeçalhos ao manipulá-los com letras maiúsculas e minúsculas de forma diferente. Embora classificada como moderada, essa falha afeta configurações que utilizam componentes de servidor HTTP (como camel-servlet, camel-jetty, camel-undertow, camel-platform-http ou camel-netty-http) em combinação com o componente camel-bean em beans que implementam mais de um método.
Pouco depois, a Apache revelou a CVE-2025-29891, uma vulnerabilidade relacionada e originada da mesma causa da CVE-2025-27636. Essa nova exposição indica que os atacantes podem explorar a falha de diferentes formas, ampliando a superfície de ataque das organizações afetadas. As defesas da Imperva mitigam ambas as vulnerabilidades com sucesso.
Neste artigo, detalhamos os aspectos técnicos dessa falha, compartilhamos as observações da Imperva sobre tentativas de exploração e explicamos como nossas regras de WAF protegem seu ambiente.
Dentro da vulnerabilidade: revelando a falha de injeção de cabeçalhos
O problema no mecanismo de filtragem de cabeçalhos do Apache Camel ocorre devido à sua abordagem sensível a maiúsculas e minúsculas. Ele bloqueia apenas cabeçalhos que começam com “Camel”, “camel” ou “org.apache.camel.”. Essa limitação permite que atacantes injetem cabeçalhos usando variações na capitalização das letras (por exemplo, “CAmelExecCommandExecutable” em vez de “CamelExecCommandExecutable”). Em configurações vulneráveis, isso pode permitir a invocação não autorizada de métodos internos de beans.
Descobertas da Imperva: tendências de exploração no mundo real
Nossa equipe de pesquisa tem monitorado ativamente tentativas de exploração dessa vulnerabilidade. A seguir, apresentamos algumas descobertas:
- Indústrias mais atacadas: Serviços financeiros (24%), Computação & TI (24%) e Negócios (15%). Esses setores são alvos frequentes devido ao alto volume de transações e dados sensíveis que manipulam.
- Países mais atacados: Estados Unidos (73%), Reino Unido (7%) e França (4%).
- IPs envolvidos: Quase todos os endereços IP utilizados nesses ataques são considerados de alto risco, pois foram identificados em ataques frequentes e de alta gravidade nas últimas duas semanas.
Até agora, a maioria das tentativas de exploração observadas da CVE-2025-29891 envolvem execuções genéricas do comando “ls”, como em CAmelExecCommandExecutable=ls, indicando uma fase inicial de reconhecimento da vulnerabilidade.
Defesa da Imperva: como nosso WAF bloqueia a ameaça
Embora a correção do Apache Camel para uma versão segura seja a recomendação ideal, nem todas as organizações conseguem aplicar a atualização imediatamente.
O Web Application Firewall (WAF) da Imperva fornece uma camada extra de defesa que mitigou esses ataques automaticamente, sem necessidade de configuração adicional, graças aos seguintes recursos:
- Regras de bloqueio para injeções de código genéricas presentes nos pacotes maliciosos observados.
- Regras contra bots maliciosos, identificando ferramentas automatizadas responsáveis pela maioria dos ataques. Até agora, 98% das tentativas de ataque vieram de bots automatizados ou scanners.
- Inteligência de reputação de IPs, bloqueando endereços reconhecidos como de alto risco. Cerca de 99% dos ataques partiram de IPs com histórico de atividades maliciosas.
Conclusão: fortalecendo a segurança contra ameaças futuras
As vulnerabilidades no Apache Camel são um exemplo claro de como pequenas falhas de configuração — nesse caso, um mecanismo de filtragem sensível a maiúsculas e minúsculas — podem ser exploradas de forma significativa.
A Imperva continua comprometida em proteger aplicações com estratégias avançadas de detecção e mitigação de ameaças. Seja aplicando correções de segurança rapidamente ou utilizando as regras do nosso WAF, nosso objetivo é garantir que seus sistemas críticos permaneçam protegidos contra ameaças emergentes.
Esse artigo tem informações retiradas do blog da Imerva. A Neotel é parceira da Imperva e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.