概要
AIアシスタントが最近、Apache ActiveMQ Classicに存在する重大なリモートコード実行(RCE)脆弱性を発見しました。この脆弱性は13年間も気づかれていませんでした。
脆弱性の詳細
CVE-2026-34197と呼ばれるこの脆弱性により、攻撃者はメッセージブローカーにリモート設定ファイルをダウンロードさせ、任意のオペレーティングシステムコマンドを実行することができます。通常は管理者権限が必要ですが、特定のバージョンでは認証なしでこの脆弱性を利用することが可能です。
脆弱性の背景
ActiveMQ Classicにはウェブベースの管理コンソールがあり、Jolokiaというインターフェースを使用してブローカーの管理操作をREST APIとして公開しています。2023年の以前の脆弱性に対応するため、開発者はデフォルトでJolokiaを読み取り専用に制限しましたが、ActiveMQの独自の管理オブジェクト(MBeans)に対してすべての操作を許可することでコンソールの機能を維持しています。
脆弱性の利用方法
- 攻撃者はJolokia APIを通じてaddNetworkConnectorという特定のオペレーションを呼び出すことができます。通常、開発者がこの機能を使用してブローカーを負荷分散のためにリンクします。
- しかし、攻撃者はvm:// URI(内部トランスポートプロトコル)を利用して、ブローカーが新しい接続を作成しようとさせます。これにより、攻撃者が悪意のあるリモートSpring XML設定ファイルを指すURIにポインティングすると、ブローカーはそのファイルを取得し実行します。
- さらに、攻撃者はJSONペイロードをJolokia APIに送信することで、xbean:http:// URLを使用してサーバーに悪意のあるスクリプトを実行させることができます。
脆弱性の影響
CVE-2026-34197は認証なしでリモートコード実行が可能となるため、組織がActiveMQバージョン6.0.0から6.1.1を使用している場合、特に高いリスクにさらされます。これらの特定のバージョンでは、APIパスからのセキュリティ制約が誤って削除されたため、Jolokiaエンドポイントが完全に露出しています。
脆弱性の発見
この脆弱性はセキュリティ研究者Naveen SunkavallyによってClaude AIモデルを使用して発見されました。AIモデルは、コードベースでアクセス可能なエンドポイントと以前の脆弱性を分析するよう促され、Jolokia、JMX、ネットワークコネクタ間の複雑な相互作用を10分程度で突き止めました。
対策
組織はこの脆弱性に対処するために:
- ActiveMQ Classicバージョン5.19.4または6.2.3に更新する。
- デフォルトの認証情報を変更し、特にadmin:adminを避ける。
- ブローカーログでvm:// URIとbrokerConfig=xbean:httpパラメータを持つネットワークコネクタ活動を監視する。
- /api/jolokia/パスへの不審なPOSTリクエストを検出する。
元記事: https://gbhackers.com/claude-identifies-critical-13-year-old-rce-vulnerability-in-apache-activemq/