
Apache ActiveMQ’da xavfli zaiflik: tajovuzkorlarga tizimda istalgan kodni ishga tushirish imkonini beradi
2025-yil 15-oktabr kuni Apache Software Foundation tomonidan ActiveMQ platformasining NMS AMQP Client komponentida aniqlangan juda xavfli zaiflik haqida rasmiy ogohlantirish e’lon qilindi. Ushbu zaiflik, CVE-2025-54539 sifatida ro‘yxatga olingan bo‘lib, hujumchiga tizimda masofadan turib ixtiyoriy kodni ishga tushirish imkonini beradi.
Mazkur nuqsonning asosi – deserializatsiya jarayonidagi xatolik. Ya’ni, dastur AMQP serverlaridan kelayotgan ishonchsiz ma’lumotlarni to‘g‘ri qayta ishlay olmagani sababli, tajovuzkorlar maxsus tuzilgan javoblar orqali dastur xotirasini boshqarishi mumkin. Shu tariqa ular nafaqat mijoz tomonidagi dastur ishini izdan chiqaradi, balki butun tarmoq infratuzilmasini xavf ostiga qo‘yadi.
Deserializatsiya — yashirin xavf manbai
Deserializatsiya zaifliklari axborot xavfsizligida eng ko‘p uchraydigan va murakkab himoyalanadigan muammolardan biridir. Bunday holatda, hujumchi oddiy ma’lumot shaklida yuborilgan obyektni dastur ichida qayta “jonlantirib”, xotirada o‘ziga kerakli kodni ishga tushiradi. Bu esa odatdagi filtrlar va tekshiruvlarni chetlab o‘tish imkonini beradi.
Apache ActiveMQ jamoasi 2.1.0 versiyasidan boshlab xavfsizlikni kuchaytirish maqsadida “allow” va “deny” ro‘yxatlarini joriy qilgan edi. Ularning vazifasi — deserializatsiya jarayonida faqat ruxsat etilgan sinflarni ishlatish orqali xavfni cheklash edi. Biroq, Endor Labs tadqiqotchilari ushbu himoya mexanizmini aylanib o‘tish mumkinligini aniqladilar. Ular murakkab tuzilgan obyektlar yoki muqobil seriyalash usullari yordamida himoya qatlamini chetlab o‘tish yo‘lini topishgan.
Bu esa amalda ilgari joriy qilingan himoyani foydasiz holga keltirdi va foydalanuvchilarni yana xavf ostida qoldirdi.
.NET muhitidagi o‘zgarishlar
Mazkur zaiflik ayniqsa .NET asosidagi tizimlar uchun dolzarbdir. Chunki ushbu platformada binary serialization uzoq yillar davomida qo‘llanib kelgan. Microsoft kompaniyasi .NET 9 versiyasidan boshlab bu texnologiyani bekor qilmoqda, chunki u turli xavfsizlik xatarlariga sabab bo‘ladi.
Apache ham bu yo‘nalishda qadam tashlab, yaqin kelajakda NMS API tarkibidan binary serialization’ni butunlay olib tashlashni rejalashtirmoqda. Buning o‘rniga JSON yoki Protocol Buffers kabi zamonaviy, xavfsizroq formatlar tavsiya etilmoqda. Bu o‘zgarishlar deserializatsiya asosidagi hujumlarga qarshi sezilarli darajada himoya yaratadi.
Tavsiya etilayotgan choralar
Apache jamoasi barcha foydalanuvchilarga 2.4.0 yoki undan yuqori versiyaga yangilanishni qat’iy tavsiya etmoqda. Ayniqsa moliyaviy tizimlar, IoT infratuzilmalari yoki taqsimlangan tarmoqlarni boshqarayotgan tashkilotlar bu yangilanishni tez fursatda amalga oshirishi zarur.
Shuningdek, ishlab chiquvchilarga quyidagi choralarni ko‘rish tavsiya etiladi:
- Binary serialization’dan butunlay voz kechish;
- AMQP brokerlariga ulanishlarda faqat ishonchli manbalardan foydalanish;
- Tashqi serverlar bilan integratsiyalarni qo‘shimcha autentifikatsiya va shifrlash bilan himoyalash;
- Tizimdagi barcha kutubxonalar va uchinchi tomon komponentlarini doimiy ravishda tekshirib borish.
Xulosa
CVE-2025-54539 zaifligi yana bir bor shuni ko‘rsatdiki, dasturiy ta’minotdagi kichik bir xatolik ham butun tarmoq xavfsizligini izdan chiqarishi mumkin. Bugungi kunda har bir tashkilot o‘z tizimida ishlatilayotgan kutubxonalar, komponentlar va protokollarni muntazam tahlil qilib borishi zarur.
Axborot xavfsizligi — bu bir martalik ish emas, balki doimiy e’tibor va mas’uliyat talab etuvchi jarayondir. Apache ActiveMQ’dagi ushbu zaiflik esa ishlab chiquvchilarga yana bir ogohlantirish bo‘lib xizmat qiladi: xavfsizlikni arxitektura darajasida rejalashtirish va yangilanishlarni kechiktirmaslik — eng ishonchli himoyadir.