Агентство по кибербезопасности и защите инфраструктуры США (CISA) бьет тревогу по поводу недавно обнаруженной уязвимости в Apache ActiveMQ, предписывая федеральным ведомствам устранить ее в течение двух недель, поскольку злоумышленники уже нацеливаются на этот недостаток, который тихо существовал более десяти лет.
Агентство добавило эту уязвимость, отслеживаемую как CVE-2026-34197, в свой каталог известных эксплуатируемых уязвимостей (KEV) в четверг, что активировало обязательное оперативное распоряжение (BOD) 22-01, дающее федеральным гражданским исполнительным органам срок до 30 апреля для исправления своих систем или подготовки объяснений в случае невыполнения.
Уязвимость находится в Apache ActiveMQ — брокере сообщений с открытым исходным кодом, используемом для передачи данных между приложениями и сервисами. Она позволяет аутентифицированному пользователю выполнять произвольный код через API управления Jolokia брокера, фактически превращая рабочую лошадку обмена сообщениями в инструмент для удаленного выполнения команд.
Она была раскрыта чуть более недели назад исследователем из Horizon3 Навином Санкавалли, который использовал для поиска ИИ-помощника Claude от Anthropic. По данным Horizon3, проблема присутствовала в кодовой базе 13 лет, оставаясь незамеченной до сих пор. Патчи доступны в версиях ActiveMQ 5.19.5 и 6.2.3.
“CVE-2026-34197 — это уязвимость удаленного выполнения кода в Apache ActiveMQ Classic, которая скрывалась на виду 13 лет”, — заявил Санкавалли. “Злоумышленник может вызвать операцию управления через API Jolokia ActiveMQ, чтобы заставить брокер загрузить удаленный конфигурационный файл и выполнить произвольные команды ОС”.
Хотя технически для эксплуатации бага требуется аутентификация, Horizon3 отмечает, что многие развертывания по-прежнему используют учетные данные по умолчанию — вечно надежные “admin:admin”, — что делает первоначальный доступ тривиальным. Что еще хуже, в некоторых версиях (с 6.0.0 по 6.1.1) более старая уязвимость, CVE-2024-32114, может полностью раскрыть API Jolokia без аутентификации, превращая это в цепочку удаленного выполнения кода, не требующую учетных данных.
“Уязвимость требует учетных данных, но учетные данные по умолчанию распространены во многих средах”, — сказал Санкавалли. “В некоторых версиях… учетные данные вообще не требуются… В этих версиях CVE-2026-34197 фактически является неаутентифицированным RCE”.
Именно такая комбинация и приводит к попаданию бага в список KEV агентства CISA, который зарезервирован для уязвимостей, уже эксплуатируемых в реальных условиях. А целиться есть по чему: организация по мониторингу угроз ShadowServer отслеживает более 8000 экземпляров ActiveMQ, доступных из публичного интернета.
Это не первый инцидент с ActiveMQ. Эта платформа фигурировала в немалом числе компрометаций, от майнеров криптовалют до инфраструктуры ботнетов. Как отметил Санкавалли, ничто из этого не является чем-то новым, что возлагает всю ответственность за быстрое реагирование на администраторов. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page
