攻撃者がバグを見つけた瞬間にLLMを使用してそれを兵器化できるようになった今、パッチを当てるのに12日かかることは「本質的にあなたのネットワークへの自殺宣言である」と専門家は述べている。
研究者がAIツールを使用してApacheのActiveMQメッセージングミドルウェアの重大な脆弱性を発見してから2週間後、インターネットに公開されているパッチが当たっていないインスタンスが依然として数千存在しており、多くのアプリケーション開発者とIT リーダーが脆弱性に関する警告に十分な注意を払っていないことを示しています。
リモートコード注入脆弱性[CVE-2026-34197]は4月7日に明かされましたが、ShadowServer Foundationの統計によると、パッチが当たっていないActiveM Qインスタンスはほぼ6,500個あり、悪用される可能性があります。
「ShadowServerが2週間近く経ってから6,000以上のパッチが当たっていないボックスをまだ見ているという事実は、本当に驚くべきことです」と、Enderle GroupのアナリストRob EnderleはCSOに語りました。「LLMが発表された瞬間にバグを兵器化する手助けができるようになった世界では、パッチを当てるのに12日かかることは、本質的にあなたのネットワークへの自殺宣言です」。
脆弱性があるのは5.19.4より前のActiveMQおよびActiveMQ Brokerバージョン、ならびに6.0から6.2.3より前です。つまり、この欠陥は10年以上前に悪用される可能性がありました。ActiveMQ Artemisは影響を受けません。
この問題は非常に深刻であるため、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は今週、このバグを既知の悪用脆弱性リスト(KEV)に追加し、連邦政府機関にアプリケーションを迅速に更新するよう促しました。
この動きは、アプリケーションでActiveM Qを使用しているプライベートセクターの開発者、および環境内でActiveM Qを使用しているアプリを持つITとセキュリティリーダーにとっても、迅速に行動し、パッチが当たったバージョン5.19.4または6.2.3にアップグレードするための合図として見るべきです。
バグはAIが10分で発見
この脆弱性は、Horizon3.aiの研究者がAnthropicの Claude AIアシスタントを使用して発見しました。彼らは約10分で発見しました。これは、最新のAIツールがいかに迅速に専門家によって脆弱性を見つけるために使用できるかを示しています。Anthropicは、その限定リリースであるClaude MythosツールはClaudeよりも欠陥を見つけるのに優れていると述べています。
Apacheによると、認証済みの攻撃者は、ResourceXmlApplicationContextを使用してリモートSpring XMLアプリケーションコンテキストをロードするようにトリガーするパラメータを持つカスタム検出URIでこの脆弱性を悪用できます。Spring のResourceXmlApplicationContextはBrokerServiceが設定を検証する前にすべてのシングルトンビーンをインスタンス化するため、Runtime.execなどのビーンファクトリメソッドを通じてブローカーのJava VM上で任意のコード実行が発生します。
「この脆弱性は13年間そこに存在していました」とEnderleは述べました。「人間は見落とし、スキャナーは見落としましたが、Claudeは10分で見つけます。これは大規模な機能上の飛躍です。AIは基本的に悪用のための考古学者のように機能し、過去10年間に私たちが遺した私たちのレガシークローゼットのあらゆる骨格を掘り出しています。」
CSOにとって問題は「基本的に私たちはAIの銃撃戦にナイフを持って臨んでいる」とも彼は付け加えました。「ほとんどのIT部門は依然として「人間速」で立ち往生しており、週末のメンテナンスウィンドウまたは委員会会議を待っていますが、悪いやつらは「機械速」で走っています。防御を自動化し、AIがバグを見つけるのと同じくらい速くパッチを当てるためにAIを使用していない場合、あなたはただ後ろに遅れているわけではなく、既に侵害されており、あなたがまだ知らないだけです。」
自動化が鍵
「企業がこれまでにこれをパッチしていない場合、それは「リソースの問題」を過ぎてまっすぐ「職業上の過失」に移行しています」とEnderleは述べました。「パッチを家事のようなものとしての扱いをやめて、生存必要条件のようなものとしての扱いを開始する必要があります。」
修正は簡単ですが、ほとんどの旧式のIT部門が受け入れるのは難しいでしょう。彼は述べました。「人間をやめてください。「AIが数分で穴を見つけている場合」彼は言いました、「12日間の手動パッチサイクルは基本的に略奪の招待です。」
まず、環境内のすべてのアプリについてソフトウェア部品表を作成することから始めてください。Enderleが提案しました。「これがなければ、あなたはただ何がボンネットの下にあるかを推測しているだけです。CycloneDXなどの標準を使用した、ライブで自動化されたインベントリが必要です。そのため、このような[ActiveMQ]バグがヒットした瞬間、あなたはスキャンしていません。どのアプリが毒物入りの成分を運んでいるかを既に正確に知っています。」
次に、彼は述べました。小さなものを自動パッチし、大きなシステムに対して自動テストを使用してください。繰り返しますが、ITが重大な欠陥を修正するために週末のメンテナンスウィンドウまたは委員会の承認を待っていない場合、彼は主張しました、「あなたは2010年のゲームを2026年の世界でプレイしています。」
「底線」彼は述べました:「あなたが何があなたのソフトウェアに含まれているかを知らず、LLMがそれを見つけることができるより速くそれを修正することができない場合、あなたはただの的です。」
