Apache ActiveMQ’nun .NET Mesaj Hizmeti (NMS) kütüphanesinde yüksek bir güvenlik açığı ortaya çıkarıldı ve bu da uzak saldırganların eşleştirilmemiş sistemlerde keyfi kod yürütmesini sağladı.
CVE-2025-29953 olarak izlenen bu kusur, 8.1 yüksek CVSS skoru taşır ve en son güvenlik güncellemesinden önce ActivEMQ’nun tüm sürümlerini etkiler.
Güvenlik Açığı Genel Bakış
Kusur, serileştirme sırasında kullanıcı tarafından sağlanan verileri doğrulamayan NMS kitaplığının gövde aksesuar yönteminde bulunur.
.png
)
Bu, saldırganların güvenlik kontrollerini atlayan kötü niyetli yükler enjekte etmelerini sağlar ve ActivEMQ işlemi bağlamında Uzaktan Kod Yürütülmesine (RCE) yol açar.
Anahtar Risk Faktörleri:
- Kimlik doğrulama gerekmez: Saldırganlar kimlik bilgileri olmadan bu uzaktan sömürebilirler.
- Yaygın etki: Activemq, kurumsal mesajlaşma sistemlerinde, IoT ve bulut altyapısında yaygın olarak kullanılmaktadır.
- Değişken saldırı vektörleri: Sömürü yöntemleri, NMS kütüphanesinin belirli ortamlarda nasıl uygulandığına bağlıdır.
Apache, ilk olarak Kasım 2023’te kusuru bildiren Siber Güvenlik Firması Sıfır Günü Girişimi’ni (ZDI) içeren koordineli bir açıklama sürecinden sonra 30 Nisan 2025’te sorunu düzenledi.
| Alan | Detaylar |
| Güvenlik Açığı Adı | Apache ActiveMQ NMS Güvenilmeyen verilerin gövde sazizleşmesi RCE Güvenlik Açığı |
| CVE kimliği | CVE-2025-29953 |
| CVSS Puanı | 8.1 (AV: N/AC: H/PR: N/UI: N/S: U/C: H/I: H/A: H) |
| Etkilenen ürün | Activemq (NMS kütüphanesi) |
| Güvenlik Açığı Türü | Güvenilmeyen verilerin seansize edilmesi yoluyla uzaktan kod yürütme (RCE) |
İstismar nasıl çalışır
Güvenilmez veriler yürütülebilir koda dönüştürüldüğünde, seansizasyon güvenlik açıkları meydana gelir. Bu durumda, NMS kütüphanesinin mesaj bedenlerindeki serileştirilmiş nesneleri yanlış ele alması saldırganların şunları yapmasına izin verir:
- Vücut mülkünü hedefleyen kötü niyetli mesajlar hazırlayın.
- Bu mesajların sunucudaki sazipleştirilmesini tetikleyin.
- Potansiyel olarak tam sistem uzlaşmasına, veri hırsızlığına veya fidye yazılımı dağıtımına yol açan keyfi komutlar yürütmek.
İstismar, kullanıcı etkileşimi gerektirmez, bu da internete bakan ActiveMQ örnekleri için özellikle tehlikeli hale getirir.
Azaltma ve öneriler
Apache tüm kullanıcıları hemen güncelleme Serileştirilmiş veriler için doğrulama kontrolleri içeren en son ActiveMQ sürümüne. Ek korumalar şunları içerir:
- Ağ maruziyetini kısıtlayın: ActivEMQ örneklerinin gerekmedikçe herkese açık olarak erişilemediğinden emin olun.
- Monitör Günlükleri: Beklenmedik serileştirme hataları veya bilinmeyen IP’lerin gelen bağlantıları gibi olağandışı aktiviteyi izleyin.
- Entegrasyonları inceleyin: Potansiyel maruz kalma için NMS kitaplığını kullanarak özel uygulamaları denetleyin.
Bu güvenlik açığı, genellikle kritik arka uç altyapısı görevi gören mesajlaşma sistemlerinde kalıcı risklerin altını çizmektedir.
ZDI analisti Mark Rivers, “Sessializasyon kusurları en ölümcül saldırı vektörleri arasında. “Kuruluşlar bu tür tehditleri azaltmak için yama yönetimine ve ağ segmentasyonuna öncelik vermelidir.”
ActiveMQ Sağlık, Finans ve Lojistik’te güçlendirme sistemleri ile, kapatılmamış sunucular 2021 Log4J krizine benzer yıkıcı saldırılarla karşılaşabilir.
Benzer güvenlik açıkları için kavram kanıtı istismarları genellikle kamu açıklamasından sonraki günlerde ortaya çıktıklarından, yöneticilerin hızlı bir şekilde hareket etmeleri tavsiye edilir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!