6,000以上のインターネット向けApache ActiveMQインスタンスが、CVE-2026-34197として追跡される重大なセキュリティ欠陥に対して脆弱であることが判明し、世界中のエンタープライズ環境に深刻な懸念をもたらしています。
Shadowserver Foundationは、2026年4月19日に実施されたルーチンのインターネット全域スキャン中に、正確に6,364個の公開され脆弱なIPアドレスを発見したことを報告しました。
これらの調査結果は、分散システムとアプリケーション間の通信を容易にするために設計された広く使用されているオープンソースメッセージブローカーであるApache ActiveMQに依存している組織に影響を与える、広がった公開問題を浮き彫りにしています。
CVE-2026-34197は、Apache ActiveMQ内の不適切な入力検証の欠陥によって引き起こされます。この弱点により、攻撃者は通常の検証メカニズムをバイパスする特別に細工されたリクエストを送信でき、潜在的にリモートコード実行(RCE)を可能にします。
成功裏に悪用された場合、脅威アクターは影響を受けるシステムへの不正アクセスを得て、任意のコマンドを実行し、エンタープライズネットワークの深くへ進出することができます。
ActiveMQサービスが適切なアクセス制御またはパッチングなしに直接公開インターネットに公開されている場合、リスクは大幅に増幅されます。
このようなシナリオでは、攻撃者は自動スキャンツールを使用して脆弱なインスタンスを簡単に識別して標的にすることができます。
この脆弱性の深刻さにより、米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は、CVE-2026-34197をその既知の悪用された脆弱性(KEV)カタログに追加しました。
この指定は、この欠陥が既に実世界の攻撃で積極的に悪用されていることを確認します。これには、高度な永続的な脅威(APT)グループにリンクされたキャンペーンが含まれます。
KEVカタログへの含有は、米国連邦機関に厳格な修復期限を課しますが、民間セクターの組織は直ちに行動を取るよう強く促されています。
国家脆弱性データベース(NVD)も、この欠陥の重大な深刻度と悪用ステータスを反映するためにそのレコードを更新しました。
防御者をサポートするために、Shadowserver Foundationは非侵襲的なフィンガープリンティング技術を使用して脆弱なActiveMQ インスタンスの継続的な監視を開始しました。
その公開アクセス可能なレポートプラットフォームにより、組織はインタラクティブダッシュボードを通じて公開されたアセットを識別し、実行可能な脅威インテリジェンスを受け取ることができます。
さらに、Horizon3.aiのセキュリティ研究者は、攻撃者が入力検証の弱点を悪用してセキュリティ制御をバイパスし、システムレベルのアクセスを取得する方法を説明する詳細な技術分析をリリースしました。
この洞察は、潜在的な侵害を調査しているインシデント対応チームに特に価値があります。
セキュリティチームは、公開を削減し悪用を防ぐためにすぐに行動すべきです。主な防御対策は次のとおりです:
積極的な悪用が進行中で、数千のシステムが依然として公開されている状況では、ランサムウェア攻撃、データ漏洩、および完全なシステム侵害を防ぐためには、タイムリーな修復が重要です。
翻訳元: https://cyberpress.org/6000-apache-activemq-instances-vulnerable/