Apache ActiveMQ zaifligi: Xakerlar DoS hujumlarini amalga oshirmoqda
Keng qo‘llaniladigan ochiq manba xabar almashish platformasi Apache ActiveMQ’da jiddiy zaiflik aniqlandi. CVE-2025-27533 deb nomlangan bu zaiflik masofaviy hujumchilarga OpenWire buyruqlarini qayta ishlashda noto‘g‘ri xotira ajratish orqali xizmatdan voz kechish (Denial of Service, DoS) holatini keltirib chiqarish imkonini beradi. Ushbu zaiflik ActiveMQ’dan real vaqt rejimida xabar almashish uchun foydalanadigan tashkilotlar uchun katta xavf tug‘diradi, chunki u kutilmagan xizmat uzilishlariga va biznes jarayonlarining buzilishiga olib kelishi mumkin.
CVE-2025-27533 “Xotirani Haddan Tashqari Katta Hajmda Ajratish” (Memory Allocation with Excessive Size Value) turiga kiradi va OpenWire buyruqlarini ochish (unmarshalling) jarayonida bufer hajmlarining noto‘g‘ri tekshirilishidan kelib chiqadi. Xavfsizlik maslahatnomasida aytilishicha, “OpenWire buyruqlarini ochish jarayonida bufer hajmi to‘g‘ri tekshirilmagan, bu esa haddan tashqari xotira ajratishga olib kelishi mumkin.” Natijada, tizim resurslari tugab, ActiveMQ brokeri ishlamay qoladi.
Bu muammoning ildizi JIRA’dagi AMQ-6596 muammosiga borib taqaladi, unda OpenWire ochish jarayonida OutOfMemory xatolari qayd etilgan edi. Muammoning asosiy sababi BaseDataStreamMarshaller sinfida joylashgan bo‘lib, looseUnmarshalByteSequence metodida katta hajmdagi bayt massivini boshlash urinishida hajm tekshiruvi amalga oshirilmagan. Bir hujjatlashtirilgan holatda, zaiflik skanerlash jarayonida ActiveMQ 2 milliard baytdan ortiq massivni boshlashga urinib, ishlamay qolgan. Hatto maxFrameSize konfiguratsiya chegaralari o‘rnatilgan bo‘lsa ham, birinchi tekshiruv muvaffaqiyatli o‘tsa-da, keyingi baholashda baribir katta xotira ajratishga ruxsat beriladi.
Xavf omillari va zararlangan versiyalar
| Xususiyat | Ma’lumotlar |
|---|---|
| Ta’sirlangan Mahsulotlar | Apache ActiveMQ versiyalari: 6.0.0 – 6.1.5, 5.18.0 – 5.18.6, 5.17.0 – 5.17.6, 5.16.0 – 5.16.7 |
| Ta’sir | Xizmatdan voz kechish (DoS) |
| Ekspluatatsiya Shartlari | ActiveMQ brokeriga autentifikatsiyasiz kirish talab qilinadi |
| CVSS 3.1 Ball | Yuqori |
ActiveMQ 5.19.0 va undan keyingi versiyalar bu zaiflikdan ta’sirlanmaydi. ActiveMQ jamoasi ushbu muammoni bartaraf etish uchun yangilanish chiqardi, bu ochish jarayonida bufer hajmini to‘g‘ri tekshirishni ta’minlaydi. Ushbu tuzatish loyiha omborida Kristofer Shennon tomonidan qilingan so‘nggi o‘zgarishlarda aks etadi.
O‘zbekistonda Apache ActiveMQ’dan foydalanadigan tashkilotlar, ayniqsa moliyaviy sektor, logistika va davlat idoralari ushbu zaiflikdan katta xavf ostida. Agar serverlar internetga ulangan bo‘lsa, hujumchilar autentifikatsiyasiz ularga kirib, xizmatni to‘xtatishi mumkin. Bu esa biznes jarayonlarida uzilishlarga, moliyaviy yo‘qotishlarga va mijozlar ishonchining pasayishiga olib keladi.
Himoya choralari va tavsiyalar
Tashkilotlarga quyidagi choralar qat’iyan tavsiya etiladi:
- Yangilanishni O‘rnating: Ta’sirlangan versiyalarni zudlik bilan 6.1.6+, 5.19.0+, 5.18.7+, 5.17.7 yoki 5.16.8 versiyalariga yangilang.
- Mutual TLS’dan Foydalaning: Agar yangilash darhol mumkin bo‘lmasa, ikki tomonlama TLS (Transport Layer Security) joriy etish orqali xavfni kamaytirish mumkin, chunki bu ekspluatatsiyani bloklaydi.
- Kirishni Cheklang: ActiveMQ brokeriga faqat ishonchli manbalardan kirishga ruxsat bering va tarmoq devorlari (firewall) orqali ruxsatsiz kirishni oldini oling.
- Monitoringni Kuchaytiring: Server resurslarining ishlatilishini kuzatib, kutilmagan xotira sarfini aniqlash choralari ko‘ring.
Apache ActiveMQ’dagi CVE-2025-27533 zaifligi ishonchli xabar almashish tizimlariga jiddiy tahdid soladi. O‘zbekistondagi tashkilotlar ushbu zaiflikdan kelib chiqadigan xavflarni bartaraf etish uchun zudlik bilan choralar ko‘rishi lozim. To‘g‘ri kirish tekshiruvi va xavfsizlik yangilanishlari – bu kabi deserializatsiya zaifliklaridan himoyalanishning eng muhim yo‘li. Kiberxavfsizlikda hushyorlik va tezkor harakat – tizimlarimizni himoya qilishning kalitidir. Bugundan boshlab ActiveMQ serverlaringizni yangilang va xavfsiz bo‘ling!
