AI駆動型の脆弱性検出活動により、セキュリティ研究者たちは10年以上前から「見かくされていた」Apache ActiveMQ Classicの欠陥を発見しました。
Horizon3.ai最高技術責任者のNaveen Sunkavally氏は4月7日に公開したブログ投稿で、リモートコード実行(RCE)バグであるCVE-2026-34197は、オープンソースメッセージブローカーを実行している組織にとって高い優先度で対応すべきであると説明しました。
「攻撃者はActiveMQのJolokia APIを通じて管理操作を呼び出し、ブローカーにリモート構成ファイルを取得させて任意のOSコマンドを実行させることができます」と彼は述べました。
「この脆弱性には認証情報が必要ですが、デフォルト認証情報(admin:admin)は多くの環境で一般的です。一部のバージョン(6.0.0-6.1.1)では、別の脆弱性CVE-2024-32114により認証なしでJolokia APIが公開されてしまうため、認証情報がまったく不要です。これらのバージョンでは、CVE-2026-34197は実質的に認証なしのRCEとなります。」
Apache ActiveMQの脆弱性についてさらに詳しく:Apache ActiveMQの欠陥がLinuxシステムをKinsing マルウェアにさらす。
CVE-2026-34197はActiveMQ Classicバージョン5.19.4および6.2.3で修正されたため、ユーザーはアップデートし、デフォルト認証情報が使用されていないことを確認することを推奨します。
RCEバグによる侵害の可能性がある組織は、ActiveMQブローカーログでネットワークコネクタアクティビティを確認し、vm://URIとbrokerConfig=xbeanを参照するHTTPリクエストを探すべきです。
- リクエストボディにaddNetworkConnectorを含む/api/jolokia/へのPOSTリクエスト
- ActiveMQブローカープロセスから予期しないホストへのアウトバウンドHTTPリクエスト
- ActiveMQ Javaプロセスによって生成された予期しない子プロセス
AIが欠陥を発見
CVE-2026-34197の発見は「80%がClaude(Anthropicの AI)で、20%が人間による仕上げ」だとSunkavally氏は説明しました。
「最近は、常にClaudeを使ってソースコードの脆弱性検出を最初に行います。軽いプロンプトで指示して、見つかった結果を検証するためにネットワーク上にターゲットを設定します」と彼は述べました。
「多くの場合、Claudeは興味深いものを見つけますが、報告する価値のあるCVEレベルには至りません。今回は、基本的なプロンプトを数個用意しただけで、素晴らしい成果を上げました。」
この欠陥が13年間隠れていた理由の一部は、その期間に独立して開発された複数のコンポーネントが関係していたためだとSunkavally氏は述べています。個別に見ると各機能は問題がありませんでしたが、それらを組み合わせると危険になります。
「これはまさにClaudeが輝いた場面です。このパスの始まりから終わりまでを効率的につなぎ合わせ、仮定のない明確な思考で対応しました」と彼は続けました。「手作業では1週間かかったであろう作業をClaudeは10分で完了しました。」
Sunkavally氏は、アプリケーションセキュリティエンジニアと開発者に対し、Claudeのようなツールを彼らの仕事に使用することを強く推奨し、「セキュリティの背景知識がある人なら誰でも利用できます」と主張しています。
翻訳元: https://www.infosecurity-magazine.com/news/claude-apache-activemq-bug-hidden/
