Apache ActiveMQ の脆弱性 CVE-2025-54539 が FIX:任意のコード実行の恐れ

Critical Apache ActiveMQ Vulnerability Let Attackers Execute Arbitrary Code

2025/10/16 CyberSecurityNews — Apache Software Foundation が公表したのは、ActiveMQ NMS AMQP クライアントに存在する深刻な脆弱性に関する情報である。この脆弱性 CVE-2025-54539 を悪用する攻撃者は、脆弱なシステム上で任意のコードを実行し得るという。この安全ではないデシリアライズの脆弱性は、ActiveMQ クライアントを用いて AMQP プロトコルを処理するアプリケーションに対して、深刻なリスクをもたらすものだ。


この問題については、2025年10月15日に公開されたアドバイザリで詳細が説明されている。ユーザーに対して強く推奨されるのは、速やかなアップデートにより、潜在的な悪用を防ぐことだ。

この脆弱性は、AMQP サーバーへの接続中に受信する、信頼できないデータが適切に処理されないことに起因する。ActiveMQ NMS AMQP クライアントのバージョン 2.3.0 以下は、無制限のデシリアライゼーション・ロジックを処理するため、この弱点が悪意のサーバに悪用される可能性が生じる。

悪用に成功した攻撃者は、特別に作成したレスポンスを介して、クライアント側でリモート・コード実行を引き起こし、ネットワークやアプリケーションを侵害する可能性がある。

安全ではないデシリアライズの脆弱性は、一般的な入力検証の迂回とメモリ内オブジェクトの操作を可能にするものであり、長年にわたり高度な攻撃の標的となってきた。

Apache ActiveMQ の脆弱性

Apache バージョン 2.1.0 以降における、クライアントのセキュリティ確保策は完全ではなかった。その時には、デシリアライゼーションを制限するための許可リストと拒否リストが導入され、受信データからインスタンス化できるクラスを制限しようとしていた。

しかし、Endor Labs のセキュリティ研究者が発見したのは、巧妙にネストされたオブジェクトや代替シリアライゼーション経路などの特定の条件下では、これらの制御が回避されてしまう状況である。

この回避により保護機能は無効化され、ユーザーは脆弱性の全影響範囲に晒されることになる。この発見が浮き彫りにするのは、特にバイナリ形式が主流であった .NET 環境における、従来のシリアライゼーション機構の保護の難しさである。

.NET 9 ではバイナリ・シリアライゼーションが非推奨とされているが、その理由は、安全ではないデシリアライズに伴うリスクの抑制にある。Apache は、今後のリリースにおいて、NMS API からのサポートを完全に削除することを検討している。

この移行は、JSON や Protocol Buffers といった安全な代替手段への業界全体の移行の傾向と一致している。デシリアライゼーションをベースとするエクスプロイトにおける、攻撃対象領域の縮小が期待される。

緩和策

Apache が推奨するのは、バージョン 2.4.0 以降へのアップグレードによる、CVE-2025-54539 の修正である。

このバージョンでは、デシリアライゼーション・ロジックが攻撃に対して強化されている。ただし、.NET バイナリ・シリアライゼーションに依存するプロジェクトでは、現代的な形式への移行が防御策として不可欠である。

金融サービスや IoT インフラなどの分散システムで ActiveMQ を利用する組織は、脅威アクターによる横展開 (ラテラル・ムーブメント) を防ぐために、パッチ適用を優先する必要がある。

Endor Labs のセキュリティ研究チームにより発見された、この脆弱性が浮き彫りにするのは、サードパーティ依存関係の厳格な管理の必要性である。パッチ未適用のインスタンスは、ランサムウェアやデータ窃取のリスクにさらされ続ける。

開発者に対して推奨されるのは、サプライチェーンをスキャンし、外部 AMQP ブローカーへの接続を確認することである。信頼できないエンドポイントが、クライアントの動作に影響を与えないように対策すべきである。

この脆弱性の原因は、ActiveMQ NMS AMQP クライアントが受信データのデシリアライズを安全に制御できなかった点にあります。巧妙にネストされたオブジェクトや代替のシリアライゼーション経路で、許可リスト/拒否リストが回避され、さらに、.NET のバイナリ形式依存が攻撃面を広げていました。ご利用のチームは、ご注意ください。よろしければ、Apache ActiveMQ で検索も、ご参照ください。