Apache ActiveMQ Classicの新たに公開された脆弱性は、AIアシスタントがわずか10分で発見し、13年以上隠れていたことが注目を集めています。
CVE-2026-34197として追跡されているこの欠陥はリモートコード実行(RCE)を可能にし、攻撃者がメッセージブローカーに悪意のあるリモート設定ファイルをダウンロードさせて任意のオペレーティングシステムコマンドを実行させることができます。
悪用には通常管理者アクセスが必要ですが、別の問題により特定のバージョンでは攻撃が完全に認証なしで行われる可能性があります。
問題はActiveMQ Classicのウェブベースの管理コンソールにあり、Java Management Extensions(JMX)操作を公開するREST APIインターフェースであるJolokiaを使用しています。
2023年の脆弱性の後、Jolokiaはデフォルトで読み取り専用アクセスに制限されました。
ただし、開発者は機能を維持するためにActiveMQの内部管理コンポーネント(MBean)への完全なアクセスを許可しました。
攻撃者はaddNetworkConnectorという操作を悪用できます。この操作は本来、負荷分散のためにブローカーを接続するために設計されていました。
Jolokia APIに細工されたリクエストを送信することで、攻撃者は内部のvm://プロトコルを使用して悪意のあるURIを供給できます。
vm://は内部通信を目的としていますが、リモートSpringXML設定ファイルを指すように操作できます。
処理されると、ブローカーはこのファイルを取得して実行し、攻撃者にシステムへの完全な制御を与えます。
例えば、Jolokiaエンドポイントに送信された悪意のあるJSONペイロードには、不正なxbean:http:// URLを含めることができ、接続プロセス中に攻撃者が制御するコードを実行するようにブローカーに指示します。
通常の条件下では、攻撃者がJolokia APIにアクセスするには有効な認証情報(一般的にadmin:admin)が必要です。
ただし、バージョン6.0.0~6.1.1は別の欠陥CVE-2024-32114の影響を受けており、これはAPIパスから意図せず認証保護を削除しました。
これらのバージョンでは、Jolokiaエンドポイントが完全に公開されており、CVE-2026-34197をゼロ認証のRCE脆弱性に変えます。
コードベースを分析して公開されたエンドポイントと過去の脆弱性を特定するようにAIに促すことで、モデルはJolokia、JMX操作、およびネットワークコネクタ間の関連性をすぐに理解しました。
通常は数週間の手動監査が必要な作業が数分で完了し、AIが脆弱性研究をどのように再構成し、発見タイムラインを加速しているかが強調されています。
ActiveMQはランサムウェアグループと高度な脅威アクターによって頻繁にターゲットにされていることを考えると、組織は直ちに行動すべきです:
このケースは、レガシーコードパスのリスクとAIが以前よりも速く複雑なセキュリティ欠陥を発見する際の役割の増加の両方を強調しています。