Apache Activemq’in NMS OpenWire istemcisindeki kritik bir güvenlik açığı (CVE-2025-29953) açıklandı ve uzak saldırganların savunmasız sistemlerde keyfi kod yürütmesini sağladı.
Güvenilmeyen verilerin güvensiz seansize edilmesinden kaynaklanan kusur, 2.1.1’den önceki sürümleri etkiler ve uygulama iletişimi için mesajlaşma komisyoncusu kullanan kuruluşlar için önemli riskler oluşturmaktadır.
Apache Activemq Güvenlik Açığı
Güvenlik açığı, güvenilmeyen sunuculara bağlanırken müşterinin serileştirilmiş verileri ele almasından kaynaklanır.
.png
)
Saldırganlar, OpenWire Protokolü’nden yararlanmak için kötü niyetli yükler oluşturabilir, bu da zararlı verilerin sermayeli hale getirilmesine ve daha sonra müşteri tarafında keyfi kod yürütülmesine yol açabilir.
CWE-502 (güvenilmeyen verilerin sazizleşmesi) altında sınıflandırılan bu kusur, düşük saldırı karmaşıklığı ve gizlilik, bütünlük ve kullanılabilirlik üzerindeki yüksek etkisi nedeniyle 9.8 kritik bir CVSS puanı kazanmıştır.
Apache, sazizleşmeyi kısıtlamak için 2.1.0 sürümünde bir izin/denilist özelliği getirirken, araştırmacılar bunun atlanabileceğini ve sistemleri korumasız bırakabileceğini buldular.
.NET ekibi, geliştiricileri bu yöntemden uzaklaşmaya çağırarak .NET 9 ile başlayarak ikili serileştirmeyi (ActiveMQ’nun NMS istemcisi tarafından kullanılır) kullandı.
Hafifletme
Apache sorunu ele almak için 2.1.1 sürümünü yayınladı ve kullanıcıların derhal yükseltmeleri şiddetle tavsiye edilir. Derhal yama yapamayanlar için geçici geçici çözümler şunları içerir:
- Müşteri bağlantılarını güvenilir sunucularla kısıtlamak.
- Güvenlik duvarları ve saldırı algılama sistemleri gibi ağ düzeyinde güvenlik kontrollerinin uygulanması.
Bu güvenlik açığı, dağıtılmış sistemlerde seansizasyon kusurlarının kalıcı risklerini vurgulamaktadır.
Güvenlik uzmanları, titiz girdi validasyonunun önemini ve mesajlaşma altyapısı için sıfır-tröst ilkelerinin benimsenmesinin önemini vurgulamaktadır.
Olay ayrıca, Microsoft’un .NET ekibi tarafından önerildiği gibi, kullanımdan kaldırılmış serileştirme yöntemlerini aşamalı olarak kaldırma ihtiyacının altını çiziyor.
Güvenlik açığı ilk olarak Kasım 2023’te Apache’ye bildirildi ve 30 Nisan 2025’te koordineli bir kamu açıklaması ile bildirildi.
ActivEMQ kullanan kuruluşlar, beklenmedik fasirleşme hataları veya doğrulanmamış kaynaklardan gelen bağlantılar gibi sömürü belirtileri için yama ve inceleme günlüğüne öncelik vermelidir.
Mesajlaşma sistemleri saldırganlar için yüksek değerli bir hedef olmaya devam ettikçe, proaktif güncellemeler ve güvenli kodlama uygulamalarına bağlılık ortaya çıkan tehditleri azaltmak için kritik öneme sahiptir.
SOC ve DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.