Исследователи в области кибербезопасности обнаружили опасную уязвимость в популярном межплатформенном брокере сообщений с открытым исходным кодом - Apache ActiveMQ. Этот программный продукт широко используется корпорациями для организации асинхронного обмена данными между различными приложениями и микросервисами в рамках сложных IT-ландшафтов. Найденная проблема, получившая идентификатор CVE-2025-66168, позволяет злоумышленникам вызвать нестабильную работу брокера и создать условия для отказа в обслуживании (Denial-of-Service, DoS), отправляя специально сконструированные сетевые пакеты. Успешная атака на такой критический компонент инфраструктуры способна парализовать внутренние коммуникации и нарушить работу целых экосистем приложений, что чревато существенными финансовыми и репутационными потерями для компаний.
Уязвимость CVE-2025-66168
Уязвимость сфокусирована на модуле MQTT (Message Queuing Telemetry Transport) внутри программного обеспечения. MQTT - это облегчённый протокол для обмена сообщениями, особенно востребованный в интернете вещей (IoT) и средах с ограниченной пропускной способностью сети. Следовательно, организациям, полагающимся на этот протокол для взаимодействия между устройствами и сервисами, необходимо применить исправления в максимально сжатые сроки. Исследователь Гаи Танака, обнаруживший проблему, пояснил, что её суть заключается в некорректной обработке контрольных пакетов MQTT. Согласно официальному бюллетеню, программное обеспечение не выполняет должную проверку поля «remaining length» (оставшаяся длина) во входящих пакетах. Когда сконструированный пакет обходит эту проверку безопасности, в процессе декодирования возникает целочисленное переполнение (integer overflow).
В результате этой математической ошибки брокер ActiveMQ неправильно вычисляет общую длину сообщения. Система начинает ошибочно интерпретировать один блок данных (полезную нагрузку) как несколько различных контрольных пакетов MQTT. Эта путаница заставляет брокер вести себя непредсказуемо при взаимодействии с несоответствующими спецификации клиентами, что и может привести к его зависанию или аварийному завершению работы. Важно подчеркнуть, что для успешной эксплуатации этой слабости атакующему необходимо сначала пройти стандартный процесс аутентификации и установить соединение с сервером. Только после этого он может отправить модифицированные пакеты для нарушения работы системы. Данное поведение напрямую нарушает официальную спецификацию MQTT версии 3.1.1, которая строго ограничивает поле оставшейся длины максимум четырьмя байтами. При этом, брокеры подвержены риску только в том случае, если в их конфигурации активированы транспортные коннекторы MQTT. Системы, не обрабатывающие такой трафик, остаются полностью защищёнными от данной конкретной уязвимости.
Фонд Apache Software Foundation оперативно выпустил экстренные обновления безопасности для устранения недостатка валидации пакетов. Проблема затрагивает несколько конкретных итераций основного приложения Apache ActiveMQ, сборки «All Module» и «MQTT Module». В зоне риска находятся все версии старше 5.19.2, линейка 6.0.0 вплоть до 6.1.8 включительно, а также версия 6.2.0. Системным администраторам необходимо немедленно провести аудит своих сред, чтобы выяснить, не используются ли в них эти устаревшие сборки. Для защиты сетей настоятельно рекомендуется обновить развёртывания ActiveMQ до одной из официально исправленных версий: 5.19.2, 6.1.9 или 6.2.1. Установка этих обновлений корректно исправляет процесс проверки длины, предотвращая целочисленное переполнение и восстанавливая безопасную обработку пакетов.
Если немедленное применение заплаток невозможно, администраторы могут временно защитить свои среды, отключив транспортные коннекторы MQTT на своих брокерах. Однако, это решение применимо только в тех случаях, когда бизнес-процессы организации не требуют использования данного протокола. В противном случае, отключение функциональности может привести к нарушению работы критически важных сервисов, например, систем мониторинга оборудования или платформ интернета вещей. Таким образом, патчинг остаётся наиболее предпочтительным и надёжным методом устранения угрозы. Эксперты по безопасности напоминают, что уязвимости в промежуточном программном обеспечении, таком как брокеры сообщений, представляют особую опасность, поскольку они часто находятся в самом центре цифровых процессов компании. Их компрометация или вывод из строя имеет каскадный эффект, останавливая множество зависимых сервисов.
Ссылки
- https://lists.apache.org/thread/13n8mkrb2jf2y6yyhpgrkmpqcm7djyto
- https://www.cve.org/CVERecord?id=CVE-2025-66168
