Apache ActiveMQ の脆弱性 CVE-2025-29953 が FIX:デシリアライズ・エラーによる RCE

Apache ActiveMQ Vulnerability Lets Remote Hackers Execute Arbitrary Code

2025/05/01 gbhackers — Apache ActiveMQ の .NET Message Service (NMS) ライブラリに、深刻な脆弱性 CVE-2025-29953 (CVSS:8.1) が発見された。この脆弱性の悪用に成功したリモートの攻撃者は、パッチ未適用のシステム上で任意のコード実行の可能性を手にする。この脆弱性が影響を及ぼす範囲は、最新のセキュリティ更新プログラムが適用される以前の、すべての ActiveMQ バージョンとなる。

脆弱性の概要

この脆弱性は、NMS ライブラリの Body accessor method に存在するものであり、それにより、デシリアライズ時のユーザー入力データの検証が失敗してしまう。

したがって、このセキュリティ・チェックを回避する、悪意のペイロードを挿入する攻撃者は、ActiveMQ プロセス内でのリモート・コード実行 (RCE) の可能性を手にする。

主なリスク要因
  • 認証が不要:攻撃者は認証情報を必要とすることなく、リモートからの悪用を達成する。
  • 広範囲への影響:ActiveMQ は、エンタープライズ・メッセージング・システム/IoT/クラウド・インフラで広く使用されている。
  • 多様な攻撃ベクター:悪用の方法は、それぞれの環境内での NMS ライブラリ実装方式により異なるものとなる。

Zero Day Initiative (ZDI) が関与する協調的な情報開示プロセスにより、2023年11月の時点で報告が行われた後の、2025年4月30日のアップデートで、Apache は脆弱性 CVE-2025-29953 を修正した。

FieldDetails
Vulnerability NameApache ActiveMQ NMS Body Deserialization of Untrusted Data RCE Vulnerability
CVE IDCVE-2025-29953
CVSS Score8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
Affected ProductActiveMQ (NMS Library)
Vulnerability TypeRemote Code Execution (RCE) via Deserialization of Untrusted Data
エクスプロイトの仕組み

このデシリアライゼーションの脆弱性とは、信頼できないデータが、実行可能なコードに変換される際に発生するものだ。今回のケースでは、NMS ライブラリがメッセージ本文内のシリアライズされているオブジェクトを適切に処理しないため、攻撃者は以下の攻撃を可能にする:

  1. Body プロパティを標的とする悪意のメッセージの作成。
  2. サーバ上で、それらの悪意のメッセージのデシリアライズをトリガー。
  3. その結果として、任意のコマンド実行を達成し、システム全体の侵害/データの窃取/ランサムウェアの展開などにいたる恐れが生じる。

このエクスプロイトは、ユーザーの操作を必要としないため、インターネットに接続された ActiveMQ インスタンスにとって、きわめて危険なものとなる。

緩和策と推奨事項

すべてのユーザーに対して Apache が推奨するのは、シリアライズされたデータの検証チェックを取り込んだ、最新の ActiveMQ バージョンへの、速やかなアップデートである。さらに、追加の安全策として、以下のものが挙げられている:

  • ネットワーク露出の制限:必要な場合を除いて、ActiveMQ インスタンスへのパブリック・アクセスを遮断する。
  • ログの監視:予期しないデシリアライズ・エラーや、不明な IP からの着信接続などの、異常なアクティビティを監視する。
  • 統合の確認:NMS ライブラリを用いたカスタム実装における、潜在的な露出の有無を監査する。

この脆弱性が浮き彫りにするのは、重要なバックエンド・インフラとして機能することが多い、メッセージング・システムにおける根深いリスクである。

ZDI のアナリストである Mark Rivers は、「デシリアライゼーションの脆弱性は、最も致命的な攻撃ベクトルの一つである。ユーザー組織としては、このような脅威を軽減するために、パッチ管理とネットワーク・セグメンテーションを優先する必要がある」と警告している。

ActiveMQ は、医療/金融/物流システムなどで利用されており、パッチを適用していないサーバは、2021年の Log4j 危機に匹敵する、破壊的な攻撃に直面する可能性があるという。

この種の脆弱性の悪用方法を示す PoC エクスプロイトは、公開から数日以内に出現することが多いため、管理者には迅速な対応が推奨される。

Apache ActiveMQ の NMS ライブラリに、RCE 脆弱性が発生しています。ご利用のチームは、アップデートをお急ぎください。なお、昨年には、Apache ActiveMQ の脆弱性を狙った攻撃がいくつか報告されています。よろしければ、以下の関連記事も、Apache で検索と併せて、ご参照ください。

2024/12/08:ActiveMQ の脆弱性を Mauri ランサムウェアが悪用
2024/03/14:ActiveMQ を悪用する攻撃:多様なペイロードを展開
2024/01/18:ActiveMQ:Godzilla Webshell による侵害を検知
2023/11/29:ActiveMQ:GoTitan ボットネットも巧撃に参戦
2023/11/20:ActiveMQ:Kinsing マルウェアも侵害に参戦
2023/11/15:ActiveMQ :ステルス攻撃の手法が判明
2023/11/06:ActiveMQ:TellYouThePass ランサムウェアが悪用