漏洞背景与恐慌起源

近日，互联网上出现多篇关于Apache Camel“关键零日漏洞”（CVE-2025-27636）的帖子，声称该漏洞具有“世界末日”级别的威胁。这些帖子详细描述了漏洞利用方法，尽管当时尚未发布CVE编号且无补丁可用。恐慌性语言导致防御团队陷入混乱，甚至有团队整个周末紧急待命却无应对方案。

漏洞真相：中危风险与特定触发条件

Apache官方已发布公告（https://lists.apache.org/thread/l3zcg3vts88bmc7w8172wkgw610y693z），明确该漏洞实际为中危问题，且需满足特定条件：

• 仅能调用同一bean中声明的的方法（通过bean URI声明）
• 在线传播的PoC针对特制漏洞的webapp，并非所有Apache Camel应用都会受影响
• 漏洞利用需要非常特定的环境配置

修复与缓解方案

Apache已发布修复版本：

• Camel 4：4.10.2 和 4.8.5
• EOL的3.x版本将很快发布补丁（3.22.4）

官方缓解建议：在Camel路由中移除相关HTTP头。可通过以下方式实现：

• 使用removeHeaders EIP过滤掉类似cAmel、cAMEL等变体头
• 全局或按路由配置，仅保留以Camel、camel或org.apache.camel开头的头

威胁情报与实际影响

• 初始攻击：Akamai发布PoC（GitHub链接），提供故意构造的漏洞端点，允许通过CAmelExecCommandExecutable头执行命令
• 攻击方式：攻击者使用Akamai PoC中的相同头（如curl命令）进行“喷洒式”盲打，非针对Camel或Jetty，仅对特定代码端点有效
• 检测规则（以F5 WAF为例）：监控HTTP头中混合大小写的“camel”引用
• 进程监控：关注Java Web服务进程生成可疑子进程（如curl），多数EDR解决方案已有对应规则

后续更新与行业反应

• 2025年3月10日：Apache更新公告，强调漏洞条件极为有限（https://camel.apache.org/security/CVE-2025-27636.html）
• 2025年3月12日：Apache发布CVE-2025-29891，实为同一问题的变体（参数可置于HTTP参数而非头中），需微调WAF规则
• 行业评分：Redhat评CVSS 6.3，CISA-ADP评5.6；CVE-2025-29891被CISA-ADP评为4.2
• 实际影响：某漏洞扫描组织扫描3100万个URL后，未发现任何易受攻击实例
• 厂商误导：Qualys等初期错误标注为“零日”并展示错误利用头，后修正内容

作者观点与总结

• 本次事件反映了网络安全行业“自毁倾向”：非恶意攻击者利用，而是行业内部过度传播未经验证的信息
• 建议组织冷静通知开发团队检查公告，评估影响后升级或实施缓解
• 防御角度类似历年Apache Camel漏洞，无需恐慌
• 截至2025年3月14日，所有观测到的利用行为均来自安全厂商的互联网扫描（多数可能不合法）

保持冷静，持续修补。