Агентство по кибербезопасности и защите инфраструктуры США (CISA) в четверг предупредило, что уязвимость высокого уровня критичности в Apache ActiveMQ, устраненная ранее в этом месяце, в настоящее время активно используется в атаках.
Apache ActiveMQ — это самый популярный брокер сообщений с открытым исходным кодом на базе Java, предназначенный для асинхронного взаимодействия между приложениями.
Уязвимость, отслеживаемая как CVE-2026-34197, оставалась незамеченной в течение 13 лет и была обнаружена исследователем Horizon3 Навином Сункавалли с помощью ИИ-помощника Claude.
Сункавалли пояснил, что уязвимость вызвана некорректной проверкой вводимых данных, что позволяет аутентифицированным злоумышленникам выполнять произвольный код посредством инъекционных атак. Разработчики Apache устранили уязвимость 30 марта в версиях ActiveMQ Classic 6.2.3 и 5.19.4.
“Мы рекомендуем организациям, использующим ActiveMQ, отнести это к числу задач с высоким приоритетом, поскольку ActiveMQ неоднократно становился целью реальных атак, а методы эксплуатации и постэксплуатации ActiveMQ хорошо известны”, — предупредили в Horizon3.
Сервис мониторинга угроз ShadowServer в настоящее время отслеживает более 7500 серверов Apache ActiveMQ, доступных в сети.
В четверг CISA добавило CVE-2026-34197 в свой Каталог известных эксплуатируемых уязвимостей (KEV) и предписало федеральным гражданским исполнительным органам (FCEB) устранить уязвимость на серверах ActiveMQ в течение двух недель, до 30 апреля, в соответствии с Обязательным оперативным распоряжением (BOD) 22-01.
Исследователи Horizon3 заявили, что признаки эксплуатации можно обнаружить путем анализа логов брокера ActiveMQ, и рекомендовали искать подозрительные подключения к брокеру, использующие параметр запроса brokerConfig=xbean:http:// и внутренний транспортный протокол VM.
“Этот тип уязвимости является частым вектором атак для злоумышленников и представляет значительный риск для федеральных структур”, — предупредило агентство по кибербезопасности.
“Примените меры по смягчению последствий в соответствии с инструкциями поставщика, следуйте применимым указаниям BOD 22-01 для облачных сервисов или прекратите использование продукта, если меры по смягчению последствий недоступны”.
Агентство также настоятельно призвало представителей частного сектора уделить первоочередное внимание установке исправлений для CVE-2026-35616 и как можно скорее обеспечить безопасность сетей своих организаций, даже несмотря на то, что BOD 22-01 распространяется только на федеральные агентства США.
Ранее CISA отметило еще две уязвимости Apache ActiveMQ как эксплуатируемые в реальных условиях: CVE-2023-46604 и CVE-2016-3088, причем первая была целью программы-вымогателя TellYouThePass как уязвимость нулевого дня.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
