Критическая уязвимость в Apache ActiveMQ: угроза удаленного выполнения кода через JMS

В Банке данных угроз безопасности информации (BDU) зафиксировали новую критическую уязвимость, получившую идентификатор BDU:2026-05661 (CVE-2015-5254). Проблема обнаружена в программной платформе Apache ActiveMQ, а именно в её службе сообщений Java (JMS - Java Message Service, стандарт обмена сообщениями между приложениями на Java). Причина кроется в недостаточной проверке входных данных, что классифицируется как ошибка типа CWE-20.

Детали уязвимости

Уязвимость позволяет нарушителю, действующему удаленно, выполнить произвольный код. Для этого злоумышленнику достаточно отправить специально созданный объект ObjectMessage. То есть атакующему не требуется предварительная аутентификация или сложные манипуляции с сетью. Базовый вектор по системе CVSS 2.0 получил максимальные 10 баллов, а по CVSS 3.1 - 9,8 балла. Оба значения соответствуют критическому уровню опасности. Проблема затрагивает не только саму платформу Apache ActiveMQ, но и множество продуктов сторонних разработчиков, которые используют эту технологию. В первую очередь речь идет об операционных системах. В их числе Ubuntu версии 14.04 LTS от компании Canonical Ltd, Fedora 22 и 23 от проекта Fedora, а также Debian GNU/Linux версий 8, 9, 11 и 12 от сообщества свободного программного обеспечения. Все эти дистрибутивы входят в список уязвимых платформ. Кроме того, под удар попали прикладные программные продукты компании Oracle Corp. В перечне значатся Enterprise Repository версий 11.1.1.7.0 и 12.1.3.0.0, а также BI Publisher версий 11.1.1.7.0, 12.2.1.1.0 и 12.2.1.2.0. Эти решения часто используются в корпоративной среде, что повышает риски для бизнеса.

Особое внимание стоит уделить продуктам компании Red Hat Inc. Уязвимость затронула JBoss Fuse версий 6 и 6.3, JBoss A-MQ версий 6.0 и 6.3, JBoss Enterprise Application Platform версий 6 и 7, а также JBoss Fuse Service Works версии 6. Дополнительно в список попала платформа Red Hat OpenShift Enterprise версии 2.2. Все перечисленные средства широко применяются для создания корпоративных приложений и интеграционных решений.

Производитель подтвердил статус проблемы. Более того, в открытом доступе уже существует рабочий эксплойт. Это означает, что любой злоумышленник может легко найти и использовать готовый инструмент для атаки. Способ эксплуатации описывается как манипулирование ресурсами, то есть атакующий использует особенности обработки данных для достижения своей цели.

Основной способ устранения - обновление программного обеспечения. Производитель уже выпустил необходимые исправления. Рекомендуется как можно скорее установить патчи на все инсталляции Apache ActiveMQ версий ниже 5.11.3, ниже 5.12.2 и ниже 5.13.0. Именно эти ветки подвержены атаке.

Пользователям затронутых дистрибутивов Linux следует обратиться к официальным бюллетеням безопасности. Для Debian GNU/Linux информация опубликована на трекере безопасности Debian. Для Fedora и Ubuntu соответствующие страницы также содержат подробные инструкции. Владельцам продуктов Oracle необходимо установить обновления, выпущенные в рамках Critical Patch Update. Клиентам Red Hat Inc. стоит посетить страницу CVE-2015-5254 на портале поддержки компании.

В целом, обнаруженная уязвимость представляет серьезную угрозу для многих корпоративных сред. Учитывая наличие публичного эксплойта и критический уровень опасности, промедление с установкой обновлений может привести к компрометации целых систем. Особенно это касается компаний, использующих технологии Red Hat или Oracle для критически важных приложений. Администраторам безопасности (SOC) следует немедленно проанализировать список затронутых продуктов и применить меры по устранению.

Детали уязвимости

Ссылки