CVE-2024-32114: High-Severity Vulnerability Exposed in Apache ActiveMQ
2024/05/02 SecurityOnline — Apache ActiveMQ は、最も人気のある Open-Source/Multi-Protocol/Java-based のメッセージ・ブローカーとして広く知られており、JavaScript/C/C++/Python/.Net などのプログラミング言語と、多様なクライアントソフトウェアとの間の通信を容易にする。さらに、AMQP のような標準プロトコルをサポートすることで、マルチ・プラットフォーム・アプリケーションを統合する際の、幅広い互換性と柔軟性を確保している。しかしながら、バージョン 6.x で発見された、深刻度の高いセキュリティ脆弱性 CVE-2024-32114 により、同プラットフォームのユーザーに重大なリスクが生じている。
脆弱性の詳細
この脆弱性 CVE-2024-32114 の深刻度は CVSS:8.5 と評価されており、高いレベルのリスクを示している。この脆弱性は、Apache ActiveMQ 6.x の安全ではないデフォルト・コンフィグレーションに起因しており、特に Jolokia JMX REST API と Message REST API に関連するものだ。デフォルト・コンフィグでは、これらの API はセキュリティ面で保護されていないため、認証を必要とせずにアクセスできてしまう。
脆弱性の影響
認証がないため、
したがって、認証を必要としない無許可のユーザーが自由にアクセスし、メッセージ・ブローカー上で様々なアクションを実行してしまう。たとえば、Jolokia JMX REST API を使ってブローカーとやり取りし、Message REST API を使ってメッセージを生成/利用し、ディスティネーションを削除/消去するためのメッセージング機能を操作する、脅威アクターたちが登場する可能性がある。したがって、不正なデータアクセス/データ損失/サービスの中断が発生し、アプリケーションの完全性/可用性が著しく損なわれる可能性が生じる。
緩和策
Apache ActiveMQ 6.x のユーザーに強く推奨されるのは、この脆弱性に対処するため対策を迅速に講じることだ。推奨される緩和策として挙げられるのは、”conf/jetty.xml” ファイル内のデフォルト・コンフィグを更新し、認証を強制することである。以下に示すように、コンフィグにセキュリティ制約マッピングを追加することで、それは実現できる:
<bean id="securityConstraintMapping" class="org.eclipse.jetty.security.ConstraintMapping">
<property name="constraint" ref="securityConstraint" />
<property name="pathSpec" value="/" />
</bean>
このコンフィグ・スニペットにより、API Web コンテキストへのアクセスがセキュアであることが保証され、対話が発生する前に適切な認証が要求される。
長期的な解決策
ActiveMQ の CVE-2024-32114 に対して、上記の緩和策により迅速な対応が可能となるが、Apache が推奨しているのは、ActiveMQ バージョン 6.1.2 へのアップグレードである。
この新しいバージョンには、デフォルト・コンフィグレーションにおいて、Jolokia と REST API をセキュアにするための更新が取り込まれており、この脆弱性に対する恒久的な解決策が提供されている。
ActiveMQ の脆弱性 CVE-2024-32114 ですが、深刻度は CVSS:8.5 とのことなので、ご利用のチームは、ご注意ください。前回の ActiveMQ に関する情報は、2024/03/14 の「Apache ActiveMQ の脆弱性 CVE-2023-46604 を悪用する攻撃:多様なペイロードを展開」となっています。よろしければ、ActiveMQ で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.