非営利セキュリティ機関Shadowserverは、オンラインに公開されている6,400台を超えるApache ActiveMQサーバが、高度な危機度のコード注入脆弱性を悪用した継続的な攻撃に対して脆弱性があることを発見しました。
Apache ActiveMQは、Javaアプリケーション間の非同期通信のための最も人気のあるオープンソースマルチプロトコルメッセージブローカーです。
CVE-2026-34197として追跡されている脆弱性は、Horizon3の研究者Naveen SunkavallyによってClaudeAIアシスタントを使用して、13年間検出されずに残った後に発見されました。
Sunkavallが説明したように、このセキュリティ脆弱性は不適切な入力検証の弱点に由来しており、認証された脅威行為者がパッチされていないシステムで任意のコードを実行することを可能にします。Apacheメンテナーは3月30日にActiveMQ Classic バージョン6.2.3および5.19.4でこの脆弱性をパッチしました。
脅威監視サービスShadowServerが月曜日に警告したように、オンラインに公開されているApache ActiveMQフィンガープリントを持つ6,400を超えるIPアドレスもCVE-2026-34197攻撃に対して脆弱性があり、ほとんどがアジア(2,925)、北米(1,409)、ヨーロッパ(1,334)に位置しています。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は木曜日にも、このApache ActiveMQ脆弱性が攻撃で積極的に悪用されていることを警告し、連邦文民行政機関(FCEB)に4月30日までにサーバをセキュアすることを命じました。
「このタイプの脆弱性は悪意のあるサイバー行為者にとって頻繁な攻撃ベクトルであり、連邦政府に重大なリスクをもたらします」とサイバーセキュリティ機関は警告しました。
「ベンダーの指示に従って軽減措置を適用し、クラウドサービスに適用されるBOD 22-01ガイダンスに従うか、軽減措置が利用できない場合は製品の使用を中止してください。」
Horizon3の研究者は、内部トランスポートプロトコルVMおよびbrokerConfig=xbean:http://クエリパラメータを使用する疑わしいブローカー接続を探すことで、ActiveMQブローカーログで悪用の兆候を検索するよう管理者にアドバイスしました。
「ActiveMQを実行している組織がこれを優先度の高い問題として扱うことを推奨します。ActiveMQは実世界の攻撃者による繰り返しのターゲットであり、ActiveMQの悪用および悪用後の方法はよく知られているからです」とHorizon3は警告しました。
CISAは2つの他のApache ActiveMQ脆弱性にタグを付けました。これらは最近数年間で野生で悪用されているものとして追跡されており、CVE-2016-3088およびCVE-2023-46604として追跡されています。後者はTellYouThePassランサムウェアギャングによってゼロデイ脆弱性として標的にされました。
Mythosが見つけたもののうち99%はまだパッチされていません。
AIは4つのゼロデイを1つのエクスプロイトにチェーンし、レンダラーとOSサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が到来しています。
自律検証サミット(5月12日および14日)で、自律的でコンテキストに富んだ検証がいかに悪用可能な項目を見つけ、コントロールを検証し、修復ループを完結させるかをご確認ください。
