AIアシスタントが最近、13年間見逃されていたApache ActiveMQ Classicの重大なリモートコード実行(RCE)脆弱性を発見しました。
CVE-2026-34197として追跡されているこの欠陥は、攻撃者がメッセージブローカーにリモート構成ファイルをダウンロードさせ、任意のオペレーティングシステムコマンドを実行することを可能にします。
これを悪用するには通常、管理者認証情報が必要ですが、特定のバージョンの別の欠陥により、認証なしで悪用できるようになります。
エクスプロイトの詳細
Apache ActiveMQ Classicには、ブローカー管理操作をREST APIとして公開するJolokiaというインターフェースを使用するWebベースの管理コンソールが含まれています。
2023年の以前の脆弱性の後、開発者はデフォルトではJolokiaを読み取り専用操作に制限しましたが、コンソールを機能させるため、ActiveMQ独自の管理ビーン(MBeans)のすべての操作を許可しました。
このブランケット許可により、危険な抜け穴が残されました。攻撃者はJolokia APIを通じてaddNetworkConnectorという特定の操作を呼び出すことができます。通常、開発者はこの機能を使用してロードバランシングのためにブローカー同士をリンクします。
ただし、組み込みテスト用の内部トランスポートプロトコルであるvm://というURIを指定することで、ブローカーは新しい接続の作成を試みます。
攻撃者がこのURIを悪意のあるリモートSpring XML構成ファイルに向けた場合、ブローカーはファイルをフェッチして実行し、攻撃者に完全なシステム制御を許可します。
たとえば、攻撃者はJolokia APIに不正なxbean:http://URLを含むJSONペイロードを送信して、接続時に悪意のあるスクリプトを実行するようサーバーに指示します。
通常の状況では、攻撃者はJolokiaエンドポイントにアクセスするために、デフォルト認証情報(admin:adminなど)が必要です。
しかし、ActiveMQバージョン6.0.0から6.1.1を実行している組織は、はるかに高いリスクに直面しています。
別の脆弱性CVE-2024-32114が誤ってAPIパスからセキュリティ制約を削除しました。
これらの特定のバージョンでは、Jolokiaエンドポイントが完全に公開されており、CVE-2026-34197が認証されていないRCE攻撃になります。
セキュリティ研究者Naveen Sunkavallyはこの欠陥をClaude AIモデルを使用して発見し、大規模言語モデルが脆弱性の発見をどのように変革しているかを実証しました。
AIにコードベースをプロンプトで分析させてアクセス可能なエンドポイントと以前の脆弱性を特定させることで、モデルはJolokia、JMX、およびネットワークコネクタ間の複雑な相互作用を、通常は人間の研究者が数週間の手動レビューを要する作業をわずか10分で解明しました。
ActiveMQデプロイメントの保護
ActiveMQを使用している組織は、ソフトウェアがランサムウェアグループと国家主体による攻撃の対象となってきた歴史があるため、これを最優先事項として扱う必要があります。
インフラストラクチャを保護するには:
- ActiveMQ Classicバージョン5.19.4または6.2.3に直ちにアップデートして、リモート操作から危険なvm://トランスポート機能を削除してください。
- すべてのデフォルト認証情報、特に標準のadmin:admin組み合わせを変更してください。
- ブローカーログで疑わしいネットワークコネクタアクティビティを監視し、特にvm://URIとbrokerConfig=xbean:httpパラメータの組み合わせを探してください。
- /api/jolokia/パスへの予期しないPOSTリクエストを監視し、本文にaddNetworkConnectorが含まれているかどうかを確認してください。
- ActiveMQブローカープロセスまたはJavaアプリケーションから生成される異常な子プロセスから発生する予期しないアウトバウンドHTTPリクエストのアラートを設定してください。
翻訳元: https://gbhackers.com/claude-identifies-critical-13-year-old-rce-vulnerability-in-apache-activemq/
