- شناسه CVE-2025-36128 :CVE
- CWE-772 :CWE
- yes :Advisory
- منتشر شده: اکتبر 16, 2025
- به روز شده: اکتبر 16, 2025
- امتیاز: 7.5
- نوع حمله: Slowloris DDoS
- اثر گذاری: Denial of Service (Dos)
- حوزه: نرم افزارهای شبکه و امنیت
- برند: IBM
- محصول: MQ
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری در IBM MQ نسخههای 9.1 تا 9.4 شامل LTS (پشتیبانی طولانی مدت) و CD (تحویل مداوم) کامپوننت های REST API و کنسول مدیریتی، ناشی از مدیریت نادرست timeout در عملیات خواندن است. این ضعف، امکان حملات Slowloris DDoS (نوعی حمله انکار سرویس) را فراهم میکند که میتواند منابع سرور را مصرف کرده و دسترسی به سرویس ها را مختل کند.
توضیحات
آسیبپذیری CVE-2025-36128 در IBM MQ (نرمافزار پیامرسانی سازمانی IBM) ناشی از عدم آزادسازی منابع پس از عمر مؤثر مطابق با CWE-772 است که منجر به عدم اعمال مناسب timeout بر عملیات خواندن فردی در پروفایلWebSphere Liberty (سرور اپلیکیشن سبکوزن IBM برای جاوا) میشود.
مهاجم از راه دور میتواند با حملات Slowloris DDoS (نوعی حمله DoS که با نگه داشتن اتصالات نیمهباز و ارسال دادهها به صورت آهسته، منابع اتصال سرور را مصرف میکند)، مجموعه ای از درخواستهای HTTP ناقص و بسیارآهسته را به کامپوننت های REST API یا کنسول مدیریتی ارسال کند؛ این اتصالات نیمهباز threadها و حافظه را مصرف میکنند و در نتیجه سرور از پاسخدهی به درخواستهای معتبر بازمیماند.
پیامدهای این ضعف شامل اختلال کامل در در دسترسپذیری سرویسهای MQ مانند توقف تبادل پیامها در محیطهای سازمانی، از دست رفتن لاگها و تأثیر بر اپلیکیشنهای وابسته به پیامرسانی است، این حمله بر کامپوننتهای مانند REST API و کنسول تمرکز دارد و نسخههای 9.1 تا 9.4 شامل LTS (پشتیبانی طولانی مدت) و CD (تحویل مداوم) را تحت تاثیر قرار می دهد.
بهرهبرداری از این ضعف بهسادگی قابل خودکارسازی است؛ مهاجم میتواند با اسکریپتها یا ابزارهای خودکار، بهصورت از راه دور، بدون تعامل کاربر و بدون نیاز به احراز هویت، تعداد زیادی اتصال HTTP نیمه باز ایجاد کرده و منابع پروفایلLiberty را مصرف کندکه منجر به کرش یا کُند شدن سرور میشود. IBM برای این آسیبپذیری بهروزرسانی یا پچ مستقیمی منتشر نکرده است. تنها راهکارهای کاهش ریسک و تنظیمات امنیتی مانند لود بالانسر(load balancer) ، فایروال اپلیکیشن وب، محدود کردن اتصالات و محدودیت نرخ درخواست ارائه شده تا از حملات Slowloris جلوگیری شود. بهعبارت دیگر، بدون اعمال این تنظیمات حفاظتی، سرور همچنان در معرض ریسک باقی میماند.
CVSS
| Score | Severity | Version | Vector String |
| 7.5 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| 9.1 LTS
9.2 LTS 9.3 LTS 9.3 CD 9.4 LTS 9.4 CD |
MQ |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که IBM MQ را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 475 | site:.ir “IBM MQ” | IBM MQ |
نتیجه گیری
این آسیبپذیری با شدت بالا در IBM MQ، ریسک حملات انکار سرویس از نوع Slowloris DDoS را از طریق عدم آزادسازی منابع افزایش میدهد و میتواند در محیطهای پیامرسانی حساس ، منجر به اختلال کامل سرویس شود. با توجه به راهکارهای کاهش ریسک ارائهشده توسط IBM، اجرای اقدامات زیر برای جلوگیری از بهرهبرداری و کاهش ریسک ضروری است:
- پیکربندی Load Balancer: در صورتی که در معماری سیستم از Load Balancer استفاده میشود، آن را طوری تنظیم کنید که فقط درخواستهای HTTP کامل و معتبر را به سرور ارسال کند تا از مسدود شدن سرور در اثر درخواستهای ناقص جلوگیری شود.
- استفاده از Reverse Proxy (پروکسی معکوس): پروکسی معکوس میتواند با مدیریت زمانبندی اتصالها و نگهداری موقت درخواستها، از حملات Slowloris جلوگیری کند. در این روش، دادههای دریافتی قبل از پردازش در حافظه موقت ذخیره میشوند تا اتصالات ناقص یا آهسته نتوانند منابع سرور را مصرف کنند.
- استفاده از فایروال اپلیکیشن وب (WAF): فایروال اپلیکیشن وب با تحلیل ترافیک ورودی، الگوهای مشکوک مرتبط با حملات Slowloris را شناسایی کرده و پیش از رسیدن به سرور مسدود میکند.
- محدودسازی تعداد اتصالات همزمان: تعداد اتصالهای فعال از هر IP را محدود کنید تا از مصرف بیشازحد منابع سرور جلوگیری شود.
- اعمال محدودیت نرخ درخواستها (Rate Limiting): با تنظیم سقف تعداد درخواستها از هر IP در بازه زمانی مشخص، از ارسال انبوه درخواستها در زمان کوتاه و ایجاد اختلال جلوگیری کنید.
به طور خلاصه، IBM توصیه میکند با اعمال پیکربندیهای امنیتی در سطح شبکه و برنامه، از مصرف بیشازحد منابع Liberty و اختلال در سرویسهای MQ جلوگیری شود. اجرای این راهکارها موجب پایداری سرویس، حفظ دسترسپذیری و کاهش ریسک حملات DoS خواهد شد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
حمله برای این CVE بردار شبکهای و از راه دور (Remote Network) دارد: مهاجم با ارسال مجموعهای از درخواستهای HTTP نیمهکامل و بسیار آهسته به کامپوننتهای REST API یا کنسول مدیریتی IBM MQ منابع ارتباطی/تردها و حافظه را مصرف میکند تا اتصالهای معتبر نتوانند سرویس را دریافت کنند؛ این بردار نیاز به احراز هویت ندارد و از اینترنت/شبکه قابل اجراست، پس بلافاصله باید ورودی شبکه را بهعنوان محل حمله در نظر گرفت و لایههای لبهای (edge) تقویت شوند.
Impact (TA0040)
اثر تأییدشده و اصلی این ضعف Availability است: بهرهبرداری موفق منجر به مصرف منابع و در نتیجه عدم پاسخدهی سرویسهای MQ (وقفه در تبادل پیامها، از دست رفتن قابلیتهای مانیتورینگ و اختلال در اپلیکیشنهای وابسته) میشود؛ پیامدهای جانبی در موارد بحرانی شامل تأخیر در پردازش لاگها و ایجاد اختلال در فرایندهای سازمانی است، لذا کشف سریع حمله و کاهش دامنه آن باید اولویت اصلی باشد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-36128
- https://www.cvedetails.com/cve/CVE-2025-36128/
- https://www.ibm.com/support/pages/node/7244480
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-36128
- https://vuldb.com/?id.328842
- https://nvd.nist.gov/vuln/detail/CVE-2025-36128
- https://cwe.mitre.org/data/definitions/772.html
