Apache ActiveMQ Classicに13年間潜んでいたリモートコード実行(RCE)脆弱性は、古い欠陥と組み合わせて認証をバイパスする可能性があるとHorizon3.aiが報告しています。
オープンソースのメッセージングおよび統合パターンサーバーであるApache ActiveMQは、メッセージキューを処理するミドルウェアブローカーとして機能し、多くの業界で広く使用されています。ActiveMQ Classicはブローカーのオリジナルバージョンです。
CVE-2026-34197として追跡されている、新たに特定されたバグにより、攻撃者はJolokia APIを通じて管理操作を呼び出し、ブローカーにリモート構成ファイルを取得してOSコマンドを実行させることができます。
Horizon3.aiによると、このセキュリティ欠陥は、攻撃者が特定のJDK MBeansを呼び出してウェブシェルをディスクに書き込むことができるバグであるCVE-2022-41678のバイパスです。
セキュリティ企業は、修正が説明しているように、すべてのActiveMQ MBeansでのすべての操作がJolokia経由で呼び出し可能になるフラグを追加しました。コード実行の問題は、実行時にブローカー間ブリッジをセットアップする操作で特定されました。
ただし、バグの悪用には、アプリケーション内にブローカーを埋め込むために設計されたActiveMQのVM転送機能をターゲットにすることも必要です。これにより、クライアントとブローカーが同じJVM内で直接通信します。
VM転送URIが存在しないブローカーを参照している場合、ActiveMQは1つを作成し、攻撃者が提供するURLを含む可能性のある構成を読み込むように指示するパラメーターを受け入れます。
2つのメカニズムを組み合わせることで、攻撃者はブローカーをだまして、「すべてのBean定義をインスタンス化し、リモートコード実行につながる」Spring XML構成ファイルを取得して実行させることができるとHorizon3.aiは述べています。
セキュリティ企業はまた、一部の展開では、Jolokia APIを認証されていないユーザーに公開するCVE-2024-32114を悪用することで、認証なしでRCEを達成できることに注目しています。
「CVE-2024-32114はActiveMQ 6.xの別の脆弱性で、Jolokiaエンドポイントを含む/api/*パスがウェブコンソールのセキュリティ制約から誤って削除されました。これは、ActiveMQバージョン6.0.0から6.1.1では、Jolokiaが完全に認証されていないことを意味します」とHorizon3.aiは説明しています。
新たに発見されたセキュリティ欠陥は、ActiveMQ Classicバージョン5.19.4および6.2.3で対処されました。ユーザーはできるだけ早く展開を更新することをお勧めします。
翻訳元: https://www.securityweek.com/rce-bug-lurked-in-apache-activemq-classic-for-13-years/
