Apache ActiveMQ Allow Attackers to Trigger DoS Attacks With Malformed Packets
2026/03/06 CyberSecurityNews — Apache ActiveMQ に存在する、脆弱性 CVE-2025-66168 (CVSS:5.4 Medium) の詳細が確認された。この脆弱性を悪用する認証済みの攻撃者は、不正に形成したネットワーク・パケットを送信することで、サービス拒否 (DoS) 攻撃を引き起こすことが可能である。この問題はセキュリティ研究者 Gai Tanaka により発見され、その後に、Apache メーリング・リスト上でメンテナー Christopher L. Shannon/Matt Pavlovich により確認された。
この脆弱性の原因は、Apache ActiveMQ の MQTT モジュールに存在する。クライアントが送信した MQTT コントロール・パケットの “remaining length” フィールドを、このモジュールのブローカーが読み取ることで、後続の受信データ量が判断される。
しかし、ActiveMQ は、このフィールドを適切に検証しないため、デコード処理中に整数オーバーフローが発生する。その結果として、ブローカーはペイロード・サイズを誤って計算し、単一の悪意のペイロードを、複数の異なる MQTT パケットとして誤認識する可能性がある。
この挙動は、MQTT v3.1.1 の公式仕様に違反している。この仕様では、”remaining length” フィールドの長さは最大 4バイトと厳格に制限されている。この不整合により、最終的にブローカーの予期しない動作が引き起こされ、非準拠クライアントに対するメッセージ処理が妨害される可能性がある。
幸いにも、攻撃対象範囲は限定的である。攻撃者が認証を完了した後の確立済みネットワーク接続上でのみ、この脆弱性の悪用が可能である。さらに、この脆弱性は MQTT トランスポート・コネクタが明示的に有効化されているサーバだけに影響を及ぼす。したがって、MQTT トランスポートが無効化されているブローカーは、この脅威の影響を受けない。
影響を受けるバージョンと対策
この脆弱性が影響を及ぼす範囲は、Apache ActiveMQ コア・フレームワーク/ActiveMQ All モジュール/MQTT モジュールである。具体的には、バージョン 5.19.2 未満/6.0.0 ~ 6.1.8/6.2.0 が影響を受ける。
管理者にとって必要なことは、修正済みバージョンである 5.19.2/6.1.9/6.2.1 へのアップグレードである。これらのセキュリティ更新では、パケット長フィールドに対する厳格な検証処理が導入されているため、恒久的に整数オーバーフローが防止される。セキュリティ・チームに対して強く推奨されるのは、速やかなアップグレードにより、インフラの安全性を確保することだ。
現時点でパッチ適用が困難な環境に対しては、暫定的な緩和策として MQTT トランスポート・コネクタの無効化が推奨される。技術的な詳細は Apache ActiveMQ 公式ポータルおよび CVE 追跡データベースで確認できる。
脆弱性 CVE-2025-66168 は、 Apache ActiveMQ の MQTT モジュールにおける数値処理の不備に起因します。通信の際に、データの長さを表すフィールドをプログラムが読み取るのですが、その値を適切にチェックしていなかったことで、計算結果が本来の型で扱える範囲を超えてしまう “整数オーバーフロー” という現象が起きてしまいます。これにより、サーバがパケットの大きさを正しく判断できなくなり、最終的にサービスの停止を招く恐れがあります。ご利用のチームは、ご注意ください。よろしければ、Apache ActiveMQ での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.