Спустя две недели после обнаружения ИИ критической уязвимости в Apache ActiveMQ тысячи необновленных экземпляров остаются открытыми для атак. Аналитики отмечают, что задержка в установке патчей недопустима в эпоху, когда ИИ ускоряет поиск уязвимостей. — csoonline.com
Спустя две недели после того, как исследователи с помощью инструмента на базе ИИ обнаружили серьезную уязвимость в промежуточном ПО для обмена сообщениями Apache ActiveMQ, в интернете по-прежнему остаются тысячи необновленных экземпляров, что является еще одним свидетельством того, что многие разработчики приложений и ИТ-руководители уделяют недостаточно внимания предупреждениям об уязвимостях.
Хотя уязвимость удаленного выполнения кода [CVE-2026-34197] была раскрыта 7 апреля, по данным статистики Фонда ShadowServer Foundation, по-прежнему существует почти 6500 необновленных экземпляров ActiveMQ, которые могут быть скомпрометированы.
«Тот факт, что ShadowServer по-прежнему обнаруживает более 6000 необновленных систем спустя почти две недели, просто поражает», — заявил ИТ-аналитик Роб Эндерл из Enderle Group в интервью CSO. «В мире, где большая языковая модель (LLM) может помочь злоумышленнику использовать уязвимость в ту же секунду, как она объявлена, задержка в 12 дней для установки патча — это, по сути, предсмертная записка для вашей сети».
Уязвимы версии ActiveMQ и ActiveMQ Broker до 5.19.4, а также версии от 6.0 до 6.2.3; это означает, что уязвимость могла использоваться более десяти лет. ActiveMQ Artemis не затронут.
Проблема настолько серьезна, что Агентство по кибербезопасности и защите инфраструктуры США (CISA) на этой неделе добавило эту ошибку в свой каталог известных и эксплуатируемых уязвимостей (KEV), настоятельно призывая федеральные агентства оперативно обновить свои приложения.
Этот шаг должен послужить сигналом и для разработчиков частного сектора, использующих ActiveMQ в своих приложениях, а также для ИТ- и руководителей по безопасности, у которых в средах работают приложения на базе ActiveMQ, чтобы действовать быстро и обновиться до исправленных версий 5.19.4 или 6.2.3.
Ошибка, найденная ИИ за 10 минут
Уязвимость была обнаружена исследователями из Horizon3.ai с помощью инструмента искусственного интеллекта Claude от Anthropic. На это у них ушло около 10 минут, что демонстрирует, как быстро современные инструменты ИИ могут быть использованы экспертами для поиска уязвимостей. Anthropic заявляет, что их инструмент Claude Mythos с ограниченным доступом еще лучше находит подобные недостатки.
Apache заявляет, что аутентифицированный злоумышленник может использовать эту уязвимость с помощью специально сформированного URI обнаружения, который запускает параметр для загрузки удаленного контекста приложения Spring с использованием ResourceXmlApplicationContext. Поскольку ResourceXmlApplicationContext в Spring создает экземпляры всех одиночных бинов до того, как BrokerService проверит конфигурацию, происходит произвольное выполнение кода в виртуальной машине Java брокера через методы фабрики бинов, такие как Runtime.exec.
«Эта уязвимость просуществовала 13 лет», — отметил Эндерл. «Люди ее пропустили, сканеры пропустили, а Claude находит ее, скажем, за 10 минут? Это огромный скачок в возможностях. ИИ, по сути, действует как археолог эксплойтов, раскапывая каждый скелет, который мы оставили в наших устаревших шкафах за последнее десятилетие».
Проблема для руководителей по безопасности (CSO) в том, что «мы, по сути, идем на перестрелку с ИИ с ножом», — добавил он. «Большинство ИТ-отделов все еще работают на ‘человеческой скорости’, ожидая окна обслуживания в выходные или заседания комитета, в то время как злоумышленники работают на ‘машинной скорости’. Если вы не автоматизируете свою защиту и не используете ИИ для установки патчей так же быстро, как ИИ находит уязвимости, вы не просто отстаете; вы уже взломаны, просто еще не знаете об этом».
Автоматизация — ключ к успеху
«Если компания до сих пор не установила патч, это уже не ‘проблема ресурсов’, а прямая профессиональная халатность», — заявил Эндерл. «Мы должны перестать относиться к установке патчей как к рутине и начать рассматривать это как требование для выживания».
Исправление простое, но его трудно принять большинству старомодных ИТ-отделов, отметил он: нужно устранить человеческий фактор. «Если ИИ находит уязвимости за минуты, то 12-дневный цикл ручного исправления — это, по сути, приглашение к ограблению».
Эндерл посоветовал начать с составления спецификации программного обеспечения (software bill of materials) для каждого приложения в вашей среде. «Без нее вы просто гадаете, что находится под капотом. Вам нужен живой, автоматизированный инвентарный список, использующий такие стандарты, как CycloneDX, чтобы в ту секунду, когда появится такая ошибка, как [с ActiveMQ], вы не сканировали, а уже точно знали, какие приложения содержат этот отравленный ингредиент».
Во-вторых, по его словам, необходимо автоматически устанавливать патчи для мелких проблем и использовать автоматизированное тестирование для крупных систем. Он вновь подчеркнул, что если ИТ-отдел все еще ждет выходных или одобрения комитета для устранения критического дефекта, «вы играете в игру 2010 года в мире 2026 года».
«Суть в следующем», — заключил он: «Если вы не знаете, что находится в вашем программном обеспечении, и не можете исправить это быстрее, чем LLM сможет это найти, вы просто мишень».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon