10年以上前の脆弱性が一流のメッセージングサーバ内で発見され、管理者認証なしで不正なコマンド実行を可能にしています。
セキュリティ上の欠陥であるCVE-2026-34197はApache ActiveMQ Classicに存在し、管理インターフェイス経由でのリモートコード実行を許可しています。攻撃者はサーバに外部設定ファイルを取得させ、埋め込まれたオペレーティングシステムコマンドを実行させることができます。この侵入はJolokiaインターフェイスに焦点を当てており、これは内部Javaの管理機能をウェブアクセス可能な形式に変換します。addNetworkConnector操作を呼び出すことで、攻撃者は不正なアドレスを提供でき、サーバをリモートの悪意あるソースから設定を取得させることができます。
これは精密な一連のイベントをトリガーします:サーバはSpringフレームワーク経由で提供されたXMLファイルを処理し、Runtime.exec()経由でシステムコマンドを呼び出すなどの指示を実行します。エクスプロイトは名目上アカウントアクセスを必要としますが、現実はより深刻です。多くのデプロイメントはデフォルトの「admin:admin」認証情報を保持しています。さらに、バージョン6.0.0から6.1.1では、セカンダリフロー(CVE-2024-32114)がインターフェイスへの認証されていないアクセスを許可し、主要な脆弱性をゼロ認証のリモートコード実行ベクトルに効果的に変換します。
Apache ActiveMQは企業インフラの基礎石であり、金融機関、医療提供者、政府機関、電子商取引プラットフォーム向けのメッセージキューを管理しています。この広範な採用は、いかなる攻撃の潜在的な規模を拡大します。特に注目すべきは、この欠陥は「Classic」イテレーションに限定されており、最新のArtemis実装は影響を受けていないということです。興味深いことに、発見はClaudeという人工知能によって促進されました。これはコードベースを解剖し、10分以内に機能的なエクスプロイトチェーンを合成したと報告されています。
開発者はバージョン5.19.4と6.2.3で修正を発行し、リモートリクエスト経由でvm://接続を作成できるようにするメカニズムを特に無効化しました。侵入の法医学的証拠はサーバログ内で見つけることができます。外部HTTPリソースを指すbrokerConfigパラメータを持つvm:// URIを含む疑わしいエントリは、侵害の主要な指標です。さらに、セキュリティチームは異常な外向きトラフィックと外部システムプロセスの開始を監視する必要があります。ActiveMQは歴史的には頻繁なターゲットであり、CVE-2016-3088やCVE-2023-46604などの以前の脆弱性は既にCISAによって活発な悪用下として記録されています。
翻訳元: https://meterpreter.org/apache-activemq-classic-rce-cve-2026-34197-ai-exploit/
