Hai lỗ hổng Apache ActiveMQ nghiêm trọng đã được công bố, đe dọa các triển khai hệ thống tin nhắn doanh nghiệp. Những lỗ hổng này có thể dẫn đến việc kiểm soát hệ thống từ xa, leo thang đặc quyền và các cuộc tấn công thao túng phản hồi HTTP. Việc cập nhật và vá lỗi ngay lập tức là cần thiết để bảo vệ hệ thống khỏi các nguy cơ tiềm ẩn.
CVE-2026-42253: Lỗ hổng Tiêm Header Phản hồi HTTP
Lỗ hổng CVE nghiêm trọng này cho phép kẻ tấn công chèn các header bảo mật HTTP độc hại thông qua các thuộc tính tin nhắn được xử lý không đúng cách. Điều này có thể dẫn đến các cuộc tấn công cross-site scripting (XSS) và thao túng phản hồi trong các hệ thống bị ảnh hưởng.
Cơ chế khai thác lỗ hổng
Lỗ hổng bắt nguồn từ thành phần MessageServlet trong API của web console Apache ActiveMQ. MessageServlet sao chép tất cả các thuộc tính tin nhắn Java Message Service (JMS) trực tiếp vào các header phản hồi HTTP mà không áp dụng bất kỳ quy trình xác thực hoặc làm sạch nào.
Hành vi này tạo ra một bề mặt tấn công nguy hiểm, cho phép kẻ tấn công tạo các tin nhắn JMS với giá trị header độc hại. Kết quả là việc tiêm header phản hồi HTTP, cho phép thay đổi hành vi bảo mật của trình duyệt.
Tác động đến các cơ chế bảo mật trình duyệt
Các header HTTP đóng vai trò quan trọng trong việc thực thi các kiểm soát bảo mật phía trình duyệt. Chúng bao gồm Content Security Policy (CSP), X-Frame-Options, và Strict-Transport-Security (HSTS).
Kẻ tấn công có thể lợi dụng lỗ hổng này để ghi đè hoặc chèn các header làm suy yếu các biện pháp bảo vệ này. Điều này mở ra cánh cửa cho nhiều cuộc tấn công khác nhau, ảnh hưởng nghiêm trọng đến bảo mật người dùng và hệ thống.
Các kịch bản tấn công thực tế
Trong các kịch bản thực tế, việc tiêm header có thể kích hoạt các cuộc tấn công như:
- Cross-Site Scripting (XSS): Thực thi mã độc trong trình duyệt của người dùng.
- Session Hijacking: Chiếm đoạt phiên làm việc của người dùng hợp lệ.
- Clickjacking: Lừa người dùng nhấp vào các phần tử không mong muốn trên trang web.
Các cuộc tấn công này đặc biệt nguy hiểm khi web console ActiveMQ bị lộ ra ngoài internet hoặc được tích hợp vào các quy trình làm việc doanh nghiệp với người dùng không đáng tin cậy.
Các phiên bản bị ảnh hưởng và biện pháp khắc phục
Lỗ hổng này ảnh hưởng đến các phiên bản Apache ActiveMQ trước 5.19.7 và các phiên bản từ 6.0.0 đến nhưng không bao gồm 6.2.6. Tương tự, các phiên bản Apache ActiveMQ Web trước 5.19.7 và các phiên bản 6.x trước 6.2.6 cũng dễ bị tấn công.
Apache Software Foundation đã khắc phục vấn đề bằng cách vô hiệu hóa và loại bỏ thành phần MessageServlet trong các bản phát hành đã vá lỗi. Biện pháp này giúp giảm đáng kể bề mặt tấn công của lỗ hổng Apache ActiveMQ.
Để biết thêm chi tiết kỹ thuật về CVE-2026-42253 và biện pháp khắc phục, bạn có thể tham khảo thông báo của Apache tại: Apache ActiveMQ Advisory.
CVE-2026-49157: Lỗ hổng Giấy phép Mặc định Không chính xác
Cùng với lỗ hổng trên, một lỗi quan trọng khác, CVE-2026-49157, đã được xác định trong Apache ActiveMQ liên quan đến việc cấp phép mặc định không chính xác. Lỗ hổng này ảnh hưởng đến khả năng kiểm soát truy cập của người dùng.
Chi tiết kỹ thuật về lỗ hổng
Lỗ hổng cho phép người dùng đã xác thực với đặc quyền thấp vẫn có thể duy trì quyền truy cập vào các điểm cuối quản lý broker Jolokia. Điều này là do cài đặt ủy quyền mặc định quá lỏng lẻo.
Thay vì bị hạn chế, người dùng không phải quản trị viên có thể thực hiện các thao tác broker nhạy cảm. Các hành động này bao gồm tạo hoặc xóa hàng đợi, vốn là các chức năng thường chỉ dành riêng cho các vai trò quản trị.
Nguy cơ bảo mật và tác động
Lỗ hổng này làm dấy lên những lo ngại nghiêm trọng về khả năng leo thang đặc quyền và thao túng broker trái phép trong môi trường đa người dùng. Kẻ tấn công có thể lợi dụng điều này để kiểm soát các tài nguyên quan trọng của hệ thống nhắn tin.
Việc kiểm soát truy cập không đủ chặt chẽ trên các giao diện quản lý API và web console là nguyên nhân gốc rễ của những rủi ro này. Việc này khiến hệ thống tin nhắn trở nên dễ bị tổn thương, đặc biệt trong các môi trường doanh nghiệp.
Thông tin chi tiết về CVE-2026-49157 có sẵn tại: Apache ActiveMQ Advisory.
Tác động Kết hợp và Nguy cơ Bảo mật
Cả hai lỗ hổng Apache ActiveMQ này đều làm nổi bật các rủi ro hệ thống trong các giao diện quản lý được phơi bày qua web console và API. Đặc biệt, chúng nguy hiểm khi các cơ chế xác thực đầu vào và kiểm soát truy cập không đủ.
Kẻ tấn công nhắm mục tiêu vào các hệ thống nhắn tin doanh nghiệp có thể kết hợp các lỗ hổng này. Mục tiêu là thao túng hành vi broker đồng thời làm suy yếu các biện pháp bảo vệ bảo mật giao diện người dùng. Đây là một nguy cơ bảo mật tổng thể lớn.
Khuyến nghị và Bản vá Bảo mật
Các tổ chức đang sử dụng Apache ActiveMQ được khuyến cáo nâng cấp ngay lập tức. Cần chuyển sang các phiên bản 5.19.7 hoặc 6.2.6. Cả hai lỗ hổng đã được khắc phục trong các phiên bản này.
Các bước bảo vệ bổ sung
Ngoài việc nâng cấp, các quản trị viên nên thực hiện các biện pháp bảo vệ sau để giảm thiểu rủi ro từ lỗ hổng Apache ActiveMQ:
- Xem xét phơi bày web console: Hạn chế quyền truy cập vào web console ActiveMQ chỉ trong các mạng đáng tin cậy.
- Kiểm tra logic xử lý tin nhắn: Kiểm tra kỹ lưỡng logic xử lý tin nhắn để tránh việc truyền dữ liệu do người dùng kiểm soát vào phản hồi HTTP một cách không an toàn.
- Tăng cường kiểm soát truy cập: Đảm bảo rằng các cài đặt ủy quyền được cấu hình đúng cách và nghiêm ngặt hơn.
Việc triển khai các bản vá bảo mật này là rất quan trọng. Bởi lẽ, ActiveMQ được sử dụng rộng rãi trong các hệ thống nhắn tin doanh nghiệp và kiến trúc microservices. Nếu không được vá, những lỗ hổng này sẽ gây ra rủi ro đáng kể, đặc biệt trong các môi trường mà quyền truy cập web console không được kiểm soát chặt chẽ.
Ghi nhận Công trạng
Các nhà nghiên cứu bảo mật Vishal Shukla, pyn3rd, uname, và 4ra1n được ghi nhận công lao trong việc phát hiện lỗ hổng tiêm header. Trong khi đó, Leon Johnson đã báo cáo vấn đề về quyền truy cập Jolokia.
