Про уязвимость Remote Code Execution - Apache ActiveMQ (CVE-2026-34197). Apache ActiveMQ - популярный брокер сообщений с открытым исходным кодом, написанный на языке Java. Его основная задача - передавать сообщения между разными сервисами, системами и микросервисами без прямого соединения между ними.

Уязвимость из апрельского Linux Patch Wednesday. Подробности об уязвимости были опубликованы 7 апреля в блоге компании HORIZON3.ai. Они утверждают, что эта уязвимость в Apache ActiveMQ Classic оставалась незамеченной на протяжении 13 лет. Атакующий может вызвать управляющую операцию ("invoke a management operation") через API Jolokia в ActiveMQ, чтобы заставить брокер загрузить удалённый файл конфигурации и выполнить произвольные команды операционной системы. В результате злоумышленник может получить доступ к конфиденциальной информации, включая сообщения, учётные данные и файлы конфигурации, внедрить вредоносное ПО или использовать скомпрометированный сервер для дальнейшего развития атаки внутри инфраструктуры.

Для эксплуатации уязвимости требуются учётные данные, однако во многих средах по-прежнему используются стандартные учётные данные (admin:admin). В некоторых версиях (6.0.0-6.1.1) учётные данные не требуются вовсе из-за другой уязвимости, CVE-2024-32114, которая непреднамеренно открывает доступ к API Jolokia без аутентификации. В этих версиях CVE-2026-34197 фактически является unauthenticated RCE.

🛠 Публичные эксплоиты доступны на GitHub с 8 апреля.

👾 Признаки эксплуатации уязвимости в реальных атаках были зафиксированы экспертами компании FortiGuard 13 апреля. Уязвимость была добавлена в CISA KEV 16 апреля.

🌐 По данным The Shadowserver Foundation на 14 мая в интернете оставалось доступно около 7000 уязвимых серверов Apache ActiveMQ.

⚙️ Согласно бюллетеню вендора, уязвимость устранена в версиях ActiveMQ 5.19.4 и 6.2.3. Но, по данным HORIZON3.ai, она была устранена в 5.19.6 и 6.2.5. Лучше установить более старшие версии. 😉