Apache ActiveMQに重大なRCE脆弱性

Apache ActiveMQの.NETクライアントライブラリに、リモートコード実行（RCE）を可能にする重大なセキュリティ脆弱性（CVE-2025-54539）が発見されました。この脆弱性は、Apache ActiveMQ NMS AMQPクライアントに存在し、クライアントが悪意のあるAMQPサーバーに接続した際に悪用される可能性があります。

攻撃者はこの脆弱性を悪用して、クライアントマシン上で任意のコードを実行し、システム全体の侵害につながる恐れがあります。Apacheプロジェクトはこの脆弱性の深刻度を「重要（Important）」と評価しており、機密性、完全性、可用性への高い潜在的影響を反映しています。

脆弱性の詳細：安全でない逆シリアル化

この問題は、NMS AMQPクライアントライブラリにおける安全でない逆シリアル化ロジックに起因します。クライアントがサーバーに接続する際、受信したシリアル化されたオブジェクトを十分な検証なしに処理します。悪意のあるサーバーは、この無制限の逆シリアル化を悪用する応答を作成し、クライアントに危険なオブジェクトをインスタンス化させたり、有害なコードを実行させたりすることが可能です。

クライアントのバージョン2.1.0では、逆シリアル化できる型を制限するための許可/拒否リストが導入されましたが、研究者たちは特定の条件下でこれらの制限をバイパスする方法を発見しました。その結果、バージョン2.3.0を含むそれ以前のNMS AMQPクライアントを使用しているすべてのアプリケーションが依然として脆弱な状態にあります。

開発者への推奨事項と対策

開発者および管理者は、直ちにApache ActiveMQ NMS AMQPクライアントをバージョン2.4.0以降にアップグレードすることが強く推奨されます。このバージョンで脆弱性は修正されています。

長期的な対策としては、Microsoftが.NET 9でこの機能を非推奨にする予定であるため、.NETバイナリシリアル化から完全に移行し、JSONやProtocol Buffersなどのより安全なシリアル化フレームワークを採用し、厳格な型チェックを強制することが挙げられます。

セキュリティチームは、メッセージブローカーの構成を見直し、クライアントが信頼できるAMQPサーバーにのみ接続するように徹底する必要があります。また、ファイアウォールルールやVPNトンネルなどのネットワークレベルの制御を導入することで、正当なブローカーエンドポイントへのアクセスを制限し、露出をさらに減らすことができます。

脆弱性発見の功績

この問題の発見は、Endor Labsのセキュリティ研究チームによるものです。詳細については、Apache ActiveMQのウェブサイトまたはCVE-2025-54539の公式CVEエントリを参照してください。

元記事: https://gbhackers.com/critical-apache-activemq-let-attackers-execute-arbitrary-code/