Uma vulnerabilidade crítica no Apache ActiveMQ Classic foi confirmada como explorada ativamente na internet e adicionada ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) da CISA. Identificada como CVE-2026-34197, a falha permite execução remota de código (RCE) por meio da interface de gerenciamento Jolokia, elevando significativamente o risco para ambientes corporativos.
Organizações que utilizam o ActiveMQ como parte de seus pipelines de mensageria, integração de sistemas ou fluxos críticos de dados devem tratar esse alerta como prioridade máxima.
🔍 O que é a CVE-2026-34197?
A CVE-2026-34197 está relacionada a uma validação inadequada de entradas na API Jolokia, interface utilizada para gerenciamento via JMX sobre HTTP no Apache ActiveMQ Classic.
Essa falha permite que um atacante:
- Abuse da API Jolokia para carregar configurações remotas maliciosas;
- Induza o broker a executar comandos arbitrários no sistema operacional;
- Realize ataques sem autenticação, em cenários onde:
- o Jolokia está exposto à internet;
- credenciais padrão permanecem ativas;
- ou outra falha permite acesso não autorizado à interface de gerenciamento.
A inclusão da vulnerabilidade no catálogo KEV confirma que o problema já está sendo explorado fora de ambientes de teste.
🗯️ Como funciona o ataque
O ataque explora diretamente a interface Jolokia, amplamente utilizada para operações administrativas no ActiveMQ. Em ambientes vulneráveis, o fluxo típico envolve:
- Identificação de instâncias do Apache ActiveMQ expostas;
- Acesso à API Jolokia sem autenticação ou com credenciais fracas;
- Envio de requisições maliciosas para invocar MBeans sensíveis;
- Execução remota de código, permitindo controle parcial ou total do sistema.
Uma exploração bem-sucedida pode resultar em:
- Instalação de malware;
- Criação de backdoors;
- Movimentação lateral na rede;
- Exfiltração de dados sensíveis;
- Interrupção de serviços essenciais.
🎯 Quem está no alvo?
Os ataques observados têm como foco principal:
- Instâncias do Apache ActiveMQ Classic expostas à internet;
- Ambientes com console de administração acessível publicamente;
- Organizações que utilizam ActiveMQ em fluxos críticos de negócio.
Ambientes corporativos, especialmente em setores como tecnologia, indústria, logística e financeiro, podem sofrer impactos severos devido ao papel central do broker de mensagens na operação.
🛡️ Recomendações de mitigação
Diante da gravidade da CVE-2026-34197, as seguintes ações são altamente recomendadas:
- Atualizar imediatamente o Apache ActiveMQ para as versões corrigidas:
- 5.19.4
- 6.2.3
- Restringir o acesso ao console web e à interface Jolokia, permitindo apenas redes internas ou VPNs;
- Desabilitar o Jolokia quando não houver necessidade operacional;
- Remover credenciais padrão e aplicar autenticação forte em todas as interfaces de gerenciamento;
- Monitorar logs em busca de:
- Chamadas suspeitas à API Jolokia;
- Execuções incomuns de MBeans;
- Utilizar soluções de monitoramento, detecção e resposta para identificar comportamentos anômalos em processos Java e conexões externas inesperadas.
⚠️ Por que essa vulnerabilidade é tão perigosa?
Falhas que permitem execução remota de código em componentes de infraestrutura, como brokers de mensageria, têm alto potencial de impacto. Um único ponto comprometido pode afetar múltiplos sistemas integrados, causando efeito cascata, interrupções operacionais e incidentes de segurança de grande escala.
A exploração ativa reforça que não se trata de um risco teórico, mas de uma ameaça real em curso.
✅ CDC Security
Instâncias vulneráveis do Apache ActiveMQ já estão sendo exploradas. Se você não verificou seu ambiente, o risco é real.
O CDC Security atua com monitoramento contínuo, detecção de vulnerabilidades e resposta a incidentes para identificar ataques antes que eles comprometam sua operação.
O CDC Security atua com monitoramento contínuo, detecção de vulnerabilidades e resposta a incidentes para identificar ataques antes que eles comprometam sua operação.
👉Conheça as soluções do CDC Security
Fontes:
FortiGuard Labs
Darkreading
