Apache ActiveMQ’daki (CVE-2024-XXXX) kritik güvenlik açığı, komisyoncuları, kötü amaçlı aktörlerin özel olarak hazırlanmış OpenWire komutları aracılığıyla sistem belleğini tüketmelerine izin vererek hizmet reddi (DOS) saldırılarına maruz bırakır.
AMQ-6596 olarak izlenen kusur, yaygın olarak kullanılan açık kaynaklı mesajlaşma platformunun birden fazla eski sürümünü etkiler ve Apache Software Foundation’dan acil hafifletme direktiflerine yol açmıştır.
Güvenlik açığı, Serialize ağ verilerinin Java nesnelerine dönüştüğü OpenWire Protokolü açılamayan bir süreçte tampon boyutu parametrelerinin yetersiz doğrulanmasından kaynaklanmaktadır.
.png
)
Bu kusurdan yararlanan saldırganlar, aşırı büyük tampon boyutu değerleri içeren manipüle edilmiş OpenWire paketlerini ileterek savunmasız brokerleri orantısız bellek kaynaklarını tahsis etmeye zorlayabilir.
Etkilenen sürümler şunları içerir:
- Apache Activemq 6.x: 6.0.0 ila 6.1.5 arasındaki tüm sürümler
- Apache Activemq 5.x: Sürümler 5.18.0–5.18.6, 5.17.0–5.17.6 ve 5.16.8’den önceki tüm sürümler
Özellikle, ActivEMQ 5.19.0 ve daha sonra, geliştirme döngüsü sırasında uygulanan OpenWire kullanımındaki yapısal iyileştirmeler nedeniyle etkilenmez.
Güvenlik açığı öncelikle, bu güvenlik katmanı doğrulanmamış istemcilerin kötü amaçlı yükler göndermesini engellediğinden, karşılıklı TLS (MTLS) kimlik doğrulamasını kullanmayan dağıtımları etkiler.
Sömürü mekaniği
OpenWire-Activemq’in, brokerler ve istemciler arasındaki veri iletimini optimize etmek için marshalling/açılmayan mekanizmalara yüksek performanslı mesajlaşma güvenleri için ikili protokolü.
Karıştırma sırasında, broker, bayt akışından önceden tanımlanmış alanları okuyarak gelen komutları feshettirir.
Güvenlik açığı, 5.16.8/5.17.7/5.18.7/6.1.6’dan önceki ActivEMQ sürümlerinin ortaya çıkması nedeniyle ortaya çıkar. size Tampon tahsis istekleri için parametre.
Bu kusurdan yararlanan bir saldırgan şunları yapabilir:
- Maruz kalan bir komisyoncuya standart bir OpenWire bağlantısı kurun
- Gerçekçi operasyonel gereksinimleri aşan tampon boyutları bildiren sahte komutlar gönderin (örn. 32 bit JVM için 4 GB)
- Tetikleyici Tekrarlandı
OutOfMemoryErrorBroker, mevcut kaynakların ötesinde bellek bloklarını tahsis etmeye çalışırken istisnalar
Bu saldırı vektörü, Broker’ın OpenWire bağlantı noktası (varsayılan TCP 61616) MTLS uygulaması olmadan kamuya açık olarak erişilebilirse kimlik doğrulaması gerektirmez.
Başarılı sömürü, komisyoncu sürecini çöker, mesaj kuyruklarını bozar ve manuel yeniden başlatılıncaya kadar bağımlı uygulamaları sakatlar.
Yama dağıtım
Apache Software Foundation, OpenWire tampon boyutu bildirimleri için katı sınır kontrolü uygulayan yamalı sürümler (6.1.6, 5.18.7, 5.17.7 ve 5.16.8) yayınladı.
Yöneticiler, etkilenen brokerlerin, özellikle de güvenilmeyen ağlara maruz kalanların yükseltilmesine öncelik vermelidir.
Güncellemeleri hemen uygulayamayan kuruluşlar için iki geçici hafifletme vardır:
- Karşılıklı TLS kimlik doğrulamasını etkinleştirin: MTLS’yi yapılandırmak, kimlik doğrulanmamış istemcilerin OpenWire komutlarını göndermesini ve uzaktan sömürü girişimlerini etkili bir şekilde etkisiz hale getirmesini önler.
- Ağ Erişim Kontrolleri: OpenWire Port erişiminin güvenilir IP aralıklarına kısıtlanması, yamayı beklerken saldırı yüzeyini azaltır.
Uzun vadeli geliştiriciler, bu özel düzeltmenin ötesinde yapısal güvenlik geliştirmeleri içeren ActivEMQ 5.19.x veya 6.x’in sonraki sürümlerine geçmeyi düşünmelidir.
Beklenmedik sivri uçlar için JVM bellek metriklerini izleme java.nio.HeapByteBuffer Tahsisler de sömürü girişimlerinin tespit edilmesine yardımcı olabilir.
Bu güvenlik açığı, protokol uygulamalarında girdi doğrulamasının kritikliğinin altını çizer-tek kontrolsüz parametre kurumsal mesajlaşma altyapısını istikrarsızlaştırabilir.
Finans, sağlık ve lojistik alanında aktivemq görev açısından kritik sistemleri güçlendirerek, operasyonel sürekliliği korumak için hızlı iyileştirme gerekmektedir.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir