バグハンティングでAIアシスタントがどのように役立つかを示す最新の例として、Horizon3.aiのセキュリティ研究者Naveen Sunkavallyは、Claudeを使用してCVE-2026-34197を発見しました。これはApache ActiveMQのリモートコード実行脆弱性で、13年前からコードベースに存在していました。
この脆弱性は2026年3月下旬にパッチが適用され、現在のところ攻撃者による能動的な悪用の兆候はありません。
それにもかかわらず、ActiveMQ脆弱性が以前にランサムウェアおよびマルウェア攻撃に利用されているため、組織はインストールを更新し、潜在的な侵害の痕跡を探す必要があります。
CVE-2026-34197について
CVE-2026-34197は、非同期通信用の人気のあるApache ActiveMQオープンソースメッセージブローカーにおける、不適切な入力検証とコードインジェクション脆弱性です。
「ActiveMQには2つの種類があります:元のブローカーであるActiveM Classic、および新しい実装であるActiveM Artemisです。この脆弱性はClassicのみに影響します」とSunkavallyは述べています。
「後知恵では脆弱性は明らかですが、なぜ長年にわたって見落とされたのかは理解できます。それは時間をかけて独立して開発された複数のコンポーネントが関係していました:Jolokia、JMX、ネットワークコネクタ、およびVMトランスポート。隔離された各機能は機能していますが、一緒に使用すると危険でした。これはまさにClaudeが活躍した場所です。このエンドツーエンドのパスを効率的に接続し、仮説から自由な明確な判断を示しました。」
Sunkavallyはまた、脆弱性は通常認証情報が必要ですが、デフォルトのユーザー名とパスワードの組み合わせ(例:admin:admin)は多くの環境で広く使用されていることに注目しました。
「一部のバージョン(6.0.0~6.1.1)では、別の脆弱性であるCVE-2024-32114により、Jolokia APIが認証なしで無意図的に公開されているため、認証情報がまったく不要です。これらのバージョンでは、CVE-2026-34197は事実上の非認証RCEです」と彼は説明しました。
軽減と調査
CVE-2026-34197はActiveMQバージョン6.2.3および5.19.4で修正されており、ActiveMQを使用している組織は、特に技術的詳細が公開されるようになったため、できるだけ早くいずれかにアップグレードする必要があります。
Sunkavallyはまた、組織にActiveMQブローカーログで侵害の可能性のある痕跡を確認するよう助言しました:
- vm:// URIs with brokerConfig=xbean:httpを参照するネットワークコネクタアクティビティ。
- /api/jolokia/へのPOSTリクエストでリクエスト本文にaddNetworkConnectorが含まれている
- ActiveMQブローカープロセスから予期しないホストへのアウトバウンドHTTPリクエスト、および
- ActiveMQ JavaプロセスによってスポーンされるUnexpected child processes
最新の侵害、脆弱性、サイバーセキュリティの脅威を見逃さないために、ニュースメールアラートにご登録ください。ここからご登録ください!
翻訳元: https://www.helpnetsecurity.com/2026/04/09/apache-activemq-rce-vulnerability-cve-2026-34197-claude/
