米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は木曜日に、先月初めにパッチが適用された高い深刻度のApache ActiveMQ脆弱性が現在攻撃で積極的に悪用されていると警告しました。
Apache ActiveMQは、アプリケーション間の非同期通信のための最も人気のあるオープンソースのJavaベースのメッセージブローカーです。
CVE-2026-34197として追跡されているセキュリティフローは13年間検出されずに残っていたもので、Horizon3の研究者Naveen SunkavallyがClaude AIアシスタントを使用して発見しました。
Sunkavallyは、この脆弱性は不適切な入力検証に起因するものであり、認証された脅威アクターがインジェクション攻撃を介して任意のコードを実行することを可能にすると説明しました。Apacheのメンテナーは3月30日にActiveMQ Classicバージョン6.2.3および5.19.4で脆弱性をパッチしました。
「ActiveMQを実行している組織は、ActiveMQが現実世界の攻撃者の繰り返しのターゲットとなっており、ActiveMQの悪用および悪用後の方法がよく知られているため、これを高優先事項として扱うことをお勧めします」とHorizon3は警告しました。
脅威監視サービスShadowServerは現在、オンラインで公開されている7,500以上のApache ActiveMQサーバーを追跡しています。
木曜日に、CISAはCVE-2026-34197をその既知の悪用された脆弱性(KEV)カタログに追加し、バインディング運用指示(BOD)22-01で義務付けられているように、連邦民間行政府(FCEB)機関に2週間以内(4月30日まで)にActiveMQサーバーをパッチするよう命じました。
Horizon3の研究者は、ActiveMQブローカーログを分析することで悪用の兆候を見つけることができると述べており、brokerConfig=xbean:http://クエリパラメーターと内部トランスポートプロトコルVMを使用する疑わしいブローカー接続を探すことをお勧めしました。
「このタイプの脆弱性は悪意のあるサイバー行為者にとって頻繁な攻撃ベクトルであり、連邦政府の企業に重大なリスクをもたらします」とサイバーセキュリティ機関は警告しました。
「ベンダーの指示に従って軽減策を適用し、クラウドサービスに適用可能なBOD 22-01ガイダンスに従うか、軽減策が利用できない場合は製品の使用を中止してください。」
また、BOD 22-01が米国連邦機関にのみ適用されるとしても、民間部門の防御者にCVE-2026-35616のパッチを優先し、できるだけ早く組織のネットワークを保護するよう促しました。
以前、CISAは他の2つのApache ActiveMQ脆弱性を野生で悪用されているものとしてタグ付けしており、CVE-2023-46604およびCVE-2016-3088として追跡されており、前者はTellYouThePassランサムウェアギャングによってゼロデイフローとしてターゲットにされました。
