Se ha revelado una vulnerabilidad de seguridad crítica en el cliente NMS OpenWire para Apache ActivemQ (CVE-2025-29953), lo que permite a los atacantes remotos ejecutar código arbitrario en sistemas vulnerables.
Los defectos enraizados en la distensión insegura de los datos no confiables afectan las versiones antes de 2.1.1, plantean riesgos graves para las organizaciones que utilizan corredores de mensajería para la comunicación de aplicaciones.
Vulnerabilidad de Apache ActivemQ
Esta vulnerabilidad se debe a que los clientes manejan datos serializados cuando se conectan a un servidor no confiable.
Los atacantes pueden crear cargas útiles maliciosas y aprovechar el protocolo Open Wire, lo que lleva al descenso de los datos nocivos y la ejecución de código arbitraria posterior en el lado del cliente.
Este defecto, clasificado como CWE-502 (descendiendo datos no confiables), gana un puntaje crítico de CVSS de 9.8 y lee aviso porque tiene baja complejidad de ataque y tiene un impacto significativo en la confidencialidad, la integridad y la disponibilidad.
Apache introdujo la función Permitir/Denylist en la versión 2.1.0 para limitar la desintervención, pero los investigadores descubrieron que podría pasar por alto y que el sistema no está protegido.
El equipo de .NET tiene una serialización binaria en desuso comenzando con .NET 9 (utilizado por el cliente NMS de ActivemQ), instando a los desarrolladores a alejarse de este método.
alivio
Apache ha lanzado la Versión 2.1.1 para abordar el problema, y se les recomienda mucho a los usuarios a actualizar de inmediato. Para aquellos que no pueden parchear rápidamente, las soluciones temporales incluyen:
Limita las conexiones del cliente a servidores de confianza. Implementación de controles de seguridad a nivel de red, como firewalls y sistemas de detección de intrusiones.
Esta vulnerabilidad destaca el riesgo persistente de fallas de desagregación en los sistemas distribuidos.
Los expertos en seguridad enfatizan la importancia de la rigurosa validación de insumos y adoptan el principio de fideicomiso cero de la infraestructura de mensajería.
El incidente también subraya la necesidad de eliminar los métodos de serialización desactivados, según lo recomendado por el equipo de .NET de Microsoft.
La vulnerabilidad se informó por primera vez a Apache en noviembre de 2023 y se hizo que se revelara públicamente el 30 de abril de 2025.
Las organizaciones que usan ActivEMQ deben priorizar el parche y verificar el registro de los signos de explotación, como errores de escape inesperados y conexiones de fuentes no verificadas.
Como los sistemas de mensajería siguen siendo un objetivo valioso para los atacantes, el cumplimiento de las actualizaciones agresivas y la protección de las prácticas de codificación es importante para mitigar las amenazas emergentes.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
