Wprowadzenie do problemu / definicja
W Apache ActiveMQ Classic ujawniono krytyczną podatność oznaczoną jako CVE-2026-34197. Błąd wynika z niewłaściwej walidacji danych wejściowych i może prowadzić do zdalnego wykonania kodu poprzez interfejs zarządzający oparty o Jolokia API.
Znaczenie incydentu wzrosło po potwierdzeniu aktywnego wykorzystywania luki oraz dodaniu jej do katalogu Known Exploited Vulnerabilities prowadzonego przez CISA. Dla organizacji korzystających z ActiveMQ oznacza to konieczność pilnej oceny ekspozycji i wdrożenia działań naprawczych.
W skrócie
- CVE-2026-34197 umożliwia zdalne wykonanie kodu w Apache ActiveMQ Classic.
- Atak wykorzystuje operacje administracyjne dostępne przez Jolokia API.
- Podatność dotyczy wybranych wersji linii 5.x oraz 6.x.
- Poprawki opublikowano w wersjach 5.19.4 oraz 6.2.3.
- W części środowisk ryzyko rośnie przez możliwość połączenia luki z CVE-2024-32114.
Kontekst / historia
Apache ActiveMQ od lat pozostaje jednym z najczęściej wykorzystywanych brokerów wiadomości w środowiskach korporacyjnych. Z uwagi na swoją rolę w integracji systemów i obsłudze komunikacji między aplikacjami, produkt regularnie znajduje się w obszarze zainteresowania cyberprzestępców oraz operatorów kampanii intruzyjnych.
Nowa luka wpisuje się w szerszy trend ataków na komponenty middleware oraz publicznie dostępne interfejsy administracyjne. W praktyce to właśnie takie elementy infrastruktury coraz częściej stają się wygodnym punktem wejścia do sieci organizacji, zwłaszcza gdy są wystawione do internetu lub chronione słabymi poświadczeniami.
Analiza techniczna
Źródłem problemu jest sposób udostępniania mostka JMX-over-HTTP przez ścieżkę /api/jolokia/. Domyślna polityka Jolokia dopuszcza wykonywanie operacji exec na wybranych obiektach MBean, co otwiera drogę do nadużyć po uzyskaniu dostępu do interfejsu zarządzania.
Szczególnie niebezpieczne są operacje takie jak BrokerService.addNetworkConnector(String) oraz BrokerService.addConnector(String). Atakujący może przekazać spreparowany URI wykrywania usług, który uruchamia parametr brokerConfig w transporcie VM i wymusza załadowanie zdalnej konfiguracji Spring XML.
Kluczowy mechanizm exploita polega na tym, iż zanim broker zakończy walidację dostarczonej konfiguracji, środowisko Spring może zainicjalizować singletonowe beany. Na tym etapie możliwe staje się wykonanie niebezpiecznych metod, w tym takich, które prowadzą do uruchomienia poleceń systemowych. W efekcie podatność może zakończyć się pełnym zdalnym wykonaniem kodu w kontekście procesu JVM brokera.
W podstawowym scenariuszu atak wymaga poprawnego uwierzytelnienia do interfejsu zarządzającego. Ryzyko znacząco rośnie jednak w środowiskach korzystających z domyślnych danych logowania albo w instalacjach, gdzie wcześniejsze błędy konfiguracyjne lub inna podatność prowadzą do niezamierzonego wystawienia Jolokia bez autoryzacji.
Podatne są przede wszystkim:
- Apache ActiveMQ Broker przed wersją 5.19.4,
- Apache ActiveMQ Broker od 6.0.0 do wersji wcześniejszych niż 6.2.3,
- pakiet activemq-all przed 5.19.4,
- pakiet activemq-all od 6.0.0 do wersji wcześniejszych niż 6.2.3.
Konsekwencje / ryzyko
Skutki skutecznego wykorzystania CVE-2026-34197 mogą być bardzo poważne. Atakujący może przejąć kontrolę nad brokerem wiadomości, uzyskać dostęp do danych przetwarzanych przez system, zmienić konfigurację kanałów integracyjnych, a następnie wykorzystać serwer jako punkt do dalszego ruchu bocznego w sieci.
W środowiskach produkcyjnych konsekwencje mogą obejmować zarówno naruszenie poufności informacji, jak i zakłócenie ciągłości działania procesów biznesowych zależnych od kolejek i integracji aplikacyjnych. Dodatkowym zagrożeniem jest możliwość wdrożenia malware, narzędzi post-exploitation lub koparek kryptowalut.
Rekomendacje
Najważniejszym działaniem jest niezwłoczna aktualizacja Apache ActiveMQ do wersji 5.19.4 lub 6.2.3, zależnie od używanej gałęzi produktu. Aktualizacja powinna jednak stanowić element szerszego planu ograniczenia ryzyka.
- zidentyfikować wszystkie instancje ActiveMQ Classic w organizacji,
- sprawdzić dostępność interfejsu /api/jolokia/ z internetu i z sieci wewnętrznych,
- ograniczyć dostęp do paneli i API zarządzających wyłącznie do zaufanych segmentów administracyjnych,
- wyłączyć Jolokia tam, gdzie nie jest niezbędna operacyjnie,
- wymusić silne i unikalne poświadczenia oraz usunąć domyślne loginy i hasła,
- zweryfikować środowiska z wersji 6.0.0–6.1.1 pod kątem dodatkowego ryzyka związanego z CVE-2024-32114,
- monitorować logi HTTP, JMX i operacje MBean, zwłaszcza wywołania addConnector oraz addNetworkConnector,
- analizować nietypowe połączenia wychodzące z procesu Java do zewnętrznych lokalizacji,
- przeprowadzić threat hunting pod kątem pobierania zdalnych konfiguracji i uruchamiania poleceń systemowych przez usługę ActiveMQ.
W organizacjach o podwyższonych wymaganiach bezpieczeństwa warto dodatkowo wdrożyć segmentację sieci, monitoring EDR, filtrowanie ruchu administracyjnego oraz reguły wykrywania prób nadużycia interfejsów zarządzających.
Podsumowanie
CVE-2026-34197 pokazuje, iż interfejsy administracyjne pozostają jednym z najgroźniejszych wektorów ataku na infrastrukturę middleware. W przypadku Apache ActiveMQ Classic podatność może prowadzić do pełnego przejęcia systemu, szczególnie gdy Jolokia API jest nadmiernie eksponowane lub chronione słabymi mechanizmami uwierzytelniania.
Aktywne wykorzystanie luki oraz jej obecność w katalogu KEV powinny być dla zespołów bezpieczeństwa wyraźnym sygnałem do natychmiastowego działania. Priorytetem pozostają aktualizacja, ograniczenie ekspozycji interfejsów zarządzających oraz przegląd konfiguracji bezpieczeństwa wszystkich instancji ActiveMQ.
Źródła
- The Hacker News — Apache ActiveMQ CVE-2026-34197 Added to CISA KEV Amid Active Exploitation
- Apache ActiveMQ Security Advisory — CVE-2026-34197 announcement
- CVE Program — CVE-2026-34197
- SAFE Threat Research — No Credentials Required: How the Most Dangerous New CVEs Invite Themselves into Your Systems
