本日のセキュリティブリーフィングは3つの具体的なシグナルを追います。CISAはApache ActiveMQの悪用を警告し、Huntressは漏えいしたWindows権限昇格ゼロデイが実侵害で使われていると確認し、Microsoftは一部のパッチ適用済みドメインコントローラーでLSASSクラッシュループを認めました。
Top line: 今朝のテーマは防御の順番です。1つはすでに実際に悪用され、2つのWindows権限昇格経路にはまだ完全な修正がなく、さらに1つの公式パッチが一部のPAM環境でドメインコントローラーを不安定にします。セキュリティチームは「今すぐパッチ」「今すぐ封じ込め」「今は展開停止」を別キューで扱うべきです。
CISAはCVE-2026-34197の活発な悪用を確認し、KEVカタログに追加しました。この欠陥はApache ActiveMQ Classicに影響し、不十分な入力検証により認証済みのリモートコード実行を許します。Apacheは6.2.3と5.19.4で修正しましたが、公開されたbrokerは依然として狙いやすい標的です。Shadowserverは7,500超のインターネット公開システムを追跡しています。
HuntressはBlueHammer、RedSun、UnDefendの手法が実際の攻撃で使われていると報告しました。BlueHammerは4月に修正されましたが、RedSunとUnDefendにはまだ完全なベンダー修正がありません。観測された活動にはSSL VPNユーザー侵害の後に続く対話型の攻撃者行動が含まれます。もうGitHub上の研究PoCではありません。
Microsoftは、KB5082063がPrivileged Access Management環境の一部non-Global CatalogドメインコントローラーでLSASSクラッシュと再起動ループを引き起こす可能性を認めました。つまり通常のセキュリティ展開が、アイデンティティ停止リスクに変わります。展開統制が弱いと、認証の不安定さが迅速なパッチの効果を消します。
Bottom line: 今日の成熟した防御とは、3つの速度で同時に動くことです。公開brokerをパッチし、Windowsの足掛かりを狩り、アイデンティティを落とす可能性のある展開は減速する。
鋭くいこう。
🗡️ KENSAI Security Team