Bleeping Computerは11月1日(米国時間)、「3,000 Apache ActiveMQ servers vulnerable to RCE attacks exposed online」において、インターネット上に公開されている3,000以上のApache ActiveMQサーバに、最近明らかになったリモートコード実行(RCE: Remote Code Execution)の脆弱性が存在するとして、注意を呼び掛けた。

  • 3、000 Apache ActiveMQ servers vulnerable to RCE attacks exposed online

    3,000 Apache ActiveMQ servers vulnerable to RCE attacks exposed online

Apache ActiveMQはJava Message Service(JMS)を実装したオープンソースのメッセージブローカー。Javaやさまざまなプログラミング言語をサポートし、AMQP、MQTT、OpenWire、STOMPなどのプロトコルをサポートする。

今回発見された脆弱性はCVE-2023-46604として追跡されており、メッセージブローカーにリモートからアクセスできる攻撃者がOpenWireプロトコルでシリアライズされたクラスタイプを操作して、ブローカにクラスパス上の任意のクラスをインスタンス化させることで任意のシェルコマンドを実行できる可能性があるとされる。

この脆弱性の影響を受けるとされるプロダクトとそのバージョンは次のとおり。

  • Apache ActiveMQ 5.18.3より前のバージョン
  • Apache ActiveMQ 5.17.6より前のバージョン
  • Apache ActiveMQ 5.16.7より前のバージョン
  • Apache ActiveMQ 5.15.16より前のバージョン
  • Apache ActiveMQ Legacy OpenWire Module 5.18.3より前のバージョン
  • Apache ActiveMQ Legacy OpenWire Module 5.17.6より前のバージョン
  • Apache ActiveMQ Legacy OpenWire Module 5.16.7より前のバージョン
  • Apache ActiveMQ Legacy OpenWire Module 5.15.16より前のバージョン

この脆弱性が修正されたプロダクトとそのバージョンは次のとおり。

  • Apache ActiveMQ 5.18.3およびこれ以降のバージョン
  • Apache ActiveMQ 5.17.6およびこれ以降のバージョン
  • Apache ActiveMQ 5.16.7およびこれ以降のバージョン
  • Apache ActiveMQ 5.15.16およびこれ以降のバージョン
  • Apache ActiveMQ Legacy OpenWire Module 5.18.3およびこれ以降のバージョン
  • Apache ActiveMQ Legacy OpenWire Module 5.17.6およびこれ以降のバージョン
  • Apache ActiveMQ Legacy OpenWire Module 5.16.7およびこれ以降のバージョン
  • Apache ActiveMQ Legacy OpenWire Module 5.15.16およびこれ以降のバージョン

この脆弱性の深刻度は緊急(Critical)とされており、ただちにアップデートすることが推奨されている。Bleeping Computerによると、非営利のセキュリティ組織「Shadowserver Foundation」の研究者の調べでは、Apache ActiveMQサービスにアクセス可能なサーバは2023年10月30日の時点で7,249台存在するという。それらのうち、3,329台はこの脆弱性を修正していないバージョンとされる。

これら脆弱なサーバのうち1,400台が中国に存在するが、国内にも11台存在するとされており、Apache ActiveMQサーバをインターネット上に公開して運営している管理者は、影響を確認して速やかにアップデートを実施することが望まれている。