CISAは新たに悪用されているApache ActiveMQのバグについてアラームを発し、連邦機関に2週間以内にパッチを適用するよう指示しており、攻撃者は1十年以上静かに潜んでいた脆弱性を狙っています。
米国のサイバーセキュリティ機関は、CVE-2026-34197として追跡されているバグを木曜日にその既知の悪用脆弱性(KEV)カタログに追加し、バインディング運用指令(BOD)22-01の期限をトリガーしました。これは連邦民間行政機関に4月30日までにシステムを修正するか、修正しない理由を説明する準備をするよう指示しています。
このバグはApache ActiveMQに存在しており、Apache ActiveMQはアプリケーション間やサービス間でデータをやり取りするために使用されるオープンソースのメッセージブローカーです。認証済みユーザーはブローカーのJolokia管理APIを介して任意のコードを実行でき、メッセージングワーカーをリモートコマンドランナーに変えることができます。
これはHorizon3の研究者Naveen Sunkavallyによって1週間以上前に開示されました。彼はAnthropicのClaude AIアシスタントを使用してそれを掘り出すのを助けました。Horizon3によると、この問題はコードベースに13年間存在しており、今まで気づかれていませんでした。ActiveMQバージョン5.19.5および6.2.3でパッチが利用可能です。
「CVE-2026-34197はApache ActiveMQ Classicのリモートコード実行脆弱性であり、13年間その目に見える場所に隠れていた」とSunkavallyは述べています。「攻撃者はActiveMQのJolokia APIを通じて管理操作を実行して、ブローカーにリモート設定ファイルをフェッチして任意のOSコマンドを実行するよう騙すことができます。」
このバグは技術的には認証を必要としますが、Horizon3は多くのデプロイメントがデフォルト認証情報(信頼できる「admin:admin」)に依存していることに注意しており、初期アクセスを簡単にしています。さらに悪いことに、特定のバージョン(6.0.0から6.1.1)では、古い脆弱性CVE-2024-32114がJolokia APIを認証なしで完全に露出させることができ、これを認証情報が不要なリモートコード実行チェーンに変えます。
「この脆弱性は認証情報を必要としますが、デフォルト認証情報は多くの環境で一般的です」とSunkavallyは述べています。「一部のバージョンでは、認証情報は全く必要ありません。これらのバージョンでは、CVE-2026-34197は実質的に認証なしのRCEです。」
その組み合わせは、バグがCISAのKEVリストに登録される理由そのものです。このリストは既に野生で悪用されている脆弱性用に予約されています。そして、狙う露出した表面はたくさんあります。脅威監視組織のShadowServerはパブリックインターネットから到達可能な8,000以上のActiveMQインスタンスを追跡しています。
これはActiveMQが攻撃者と衝突した最初のケースではありません。このプラットフォームは、暗号鉱夫からボットネットインフラストラクチャまで、多くの侵害に登場しています。Sunkavallyが指摘したように、これのどれも特に新しいものではなく、管理者が素早く行動する責任があります。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/17/cisa_tells_feds_to_patch/
