CVE-2026-34197 permite injeção de código por meio da API Jolokia em instalações vulneráveis do broker, com correções disponíveis nas versões 5.19.4 e 6.2.3.
| Componente | Apache ActiveMQ Classic, incluindo org.apache.activemq:activemq-broker e org.apache.activemq:activemq-all, com exposição relevante da API Jolokia de gerenciamento. |
| Vetor | Operação de gerenciamento invocada pela API Jolokia para induzir o broker a buscar um arquivo de configuração remoto; a exploração exige credenciais, exceto nos ramos 6.0.0 a 6.1.1 quando combinada com CVE-2024-32114. |
| Impacto | Injeção de código com possibilidade de execução de código arbitrário em instalações suscetíveis; em interfaces de gerenciamento expostas, o risco operacional inclui interrupção de serviço e acesso indevido ao ambiente. |
| Prioridade | Atualizar para Apache ActiveMQ Classic 5.19.4 ou 6.2.3, auditar endpoints Jolokia acessíveis externamente, restringir acesso a redes confiáveis e aplicar autenticação forte. |
| Versões | org.apache.activemq:activemq-broker antes de 5.19.4; org.apache.activemq:activemq-broker 6.0.0 antes de 6.2.3; org.apache.activemq:activemq-all 6.0.0 antes de 6.2.3. |
| Exploração | CVE-2026-34197 foi adicionada ao catálogo KEV da CISA, com prazo de correção para agências FCEB até 30 de abril de 2026; houve tentativas de exploração observadas nos dias anteriores, com pico em 14 de abril de 2026. |
A vulnerabilidade CVE-2026-34197 afeta o Apache ActiveMQ Classic e foi classificada como falha de alta severidade, com pontuação CVSS 8.8. O problema está relacionado à validação inadequada de entrada e pode resultar em injeção de código. Em termos práticos, a condição explorável envolve a API Jolokia de gerenciamento, que pode ser usada para acionar uma operação administrativa no broker e fazer com que a instância busque uma configuração remota. Quando essa cadeia é bem-sucedida em uma instalação suscetível, o efeito técnico descrito é a execução de comandos do sistema operacional ou execução de código arbitrário no contexto do serviço afetado.
A entrada da falha no catálogo Known Exploited Vulnerabilities da CISA altera a prioridade operacional do caso porque indica exploração ativa em ambiente real. Para agências civis federais dos Estados Unidos, o prazo de correção definido foi 30 de abril de 2026, mas o mesmo sinal é relevante para qualquer organização que mantenha ActiveMQ Classic em pipelines de mensageria, integração de aplicações ou infraestrutura de dados. O fator de maior risco não é apenas a existência da falha, e sim a combinação de instâncias antigas, interfaces de gerenciamento acessíveis pela rede e credenciais fracas ou padrão, especialmente quando o par admin:admin ainda está presente.
O fluxo técnico documentado parte de uma operação de gerenciamento exposta pela API Jolokia. Em vez de depender de uma interação comum de aplicação com filas ou tópicos, a exploração usa a superfície administrativa do broker. A operação faz o ActiveMQ buscar um arquivo de configuração remoto e processar o conteúdo de forma que comandos do sistema operacional possam ser executados. A vulnerabilidade, portanto, deve ser tratada como risco em plano de controle, não apenas como falha em tráfego de mensagens. Ambientes que publicam a API de gerenciamento para redes amplas elevam a probabilidade de tentativa automatizada, porque a enumeração de endpoints Jolokia é direta para operadores que procuram consoles ou interfaces administrativas expostas.
A exploração normalmente exige credenciais válidas, o que torna autenticação, inventário de contas e revisão de senhas controles centrais. No entanto, o contexto muda nos ramos 6.0.0 a 6.1.1 quando há sobreposição com CVE-2024-32114, falha que expõe inadvertidamente a API Jolokia sem autenticação. Nessa combinação específica de versões, CVE-2026-34197 passa a ter comportamento efetivo de RCE sem autenticação. Esse detalhe é importante para priorização porque duas instalações aparentemente semelhantes podem ter riscos diferentes: uma versão exigindo credenciais pode depender de abuso de senha fraca ou vazada, enquanto outra pode aceitar a cadeia de exploração diretamente pela exposição da interface.
Os detalhes públicos do contexto não descrevem uma amostra completa de exploração em uso, nem indicam payloads, hashes, infraestrutura de comando e controle ou ator específico. Mesmo assim, há registro de tentativas de exploração ao longo dos dias anteriores à publicação, com pico observado em 14 de abril de 2026. Para defesa, essa lacuna significa que a resposta deve se concentrar em comportamento e superfície: acesso à API Jolokia, operações administrativas incomuns, busca de configuração remota pelo broker, mudanças inesperadas em processo filho e atualização das versões afetadas. Não há base suficiente para atribuir a atividade a uma campanha específica ou para assumir uma família de malware nesta ocorrência.
A superfície afetada envolve instalações Apache ActiveMQ Classic que executam org.apache.activemq:activemq-broker antes de 5.19.4, org.apache.activemq:activemq-broker 6.0.0 antes de 6.2.3 e org.apache.activemq:activemq-all 6.0.0 antes de 6.2.3. A presença do pacote vulnerável, isoladamente, não descreve todo o risco operacional: a exposição da API Jolokia, o modelo de autenticação aplicado, o uso de credenciais padrão e a acessibilidade da interface a partir de redes não confiáveis determinam a urgência prática da resposta. Brokers usados em ambientes de mensageria corporativa e pipelines de dados costumam ter conectividade com múltiplos serviços, o que torna uma execução de código no serviço de mensageria um evento de alto impacto.
A atenção deve ser maior quando a interface de gerenciamento estiver publicada além de redes administrativas controladas. O ActiveMQ já aparece historicamente como alvo recorrente, e o material analisado cita exploração anterior de outra vulnerabilidade crítica, CVE-2023-46604, usada em 2025 para distribuir o malware Linux DripDropper. Esse histórico não prova que a exploração atual usa a mesma cadeia ou o mesmo operador, mas reforça que brokers expostos são ativos atrativos para automação ofensiva. A avaliação defensiva deve separar esses fatos: CVE-2026-34197 é o problema atual em Jolokia e configuração remota; CVE-2023-46604 é apenas referência de recorrência de ataques contra o mesmo produto.
- Instalações com
org.apache.activemq:activemq-brokerantes de 5.19.4 devem ser consideradas vulneráveis até atualização ou validação técnica equivalente. - Instalações nos ramos 6.0.0 a 6.1.1 exigem prioridade adicional quando a API Jolokia estiver exposta, devido à interação com
CVE-2024-32114. - Ambientes que ainda usam credenciais padrão
admin:adminampliam a viabilidade da exploração autenticada. - Endpoints Jolokia acessíveis externamente devem ser tratados como superfície administrativa sensível, mesmo quando a aplicação de mensageria pareça funcionar normalmente.
A busca defensiva deve começar por inventário e exposição. Equipes de segurança precisam localizar instâncias ActiveMQ Classic, confirmar os pacotes e ramos instalados, mapear onde a API Jolokia está habilitada e identificar se o acesso parte de redes administrativas ou de endereços externos. O dado de maior valor para hunting é a correlação entre requisições à interface Jolokia, autenticações administrativas e comportamento subsequente do processo do broker. Como a cadeia descrita envolve a busca de um arquivo de configuração remoto, eventos de saída de rede incomuns partindo do host ActiveMQ também merecem atenção, principalmente quando ocorrem próximos a chamadas de gerenciamento.
Em endpoints e servidores, a telemetria deve procurar criação de processos filhos pelo serviço ActiveMQ, alteração inesperada de arquivos de configuração, reinicializações não planejadas do broker e mudanças de conectividade após acesso à API de gerenciamento. Em logs de identidade, a presença de autenticação com contas administrativas genéricas, falhas repetidas seguidas de sucesso ou uso do par admin:admin deve ser considerada sinal de risco. Em rede, acessos à API Jolokia vindos de origens fora dos segmentos administrativos, varreduras recentes e padrões de tentativa repetida contra múltiplos brokers ajudam a diferenciar administração legítima de exploração automatizada.
A ausência de IoCs específicos no contexto público impede uma abordagem baseada em lista fixa de hashes, domínios ou endereços IP. A detecção, portanto, deve priorizar comportamento e configuração. Isso reduz dependência de indicadores frágeis e aumenta a chance de encontrar tentativas que mudem infraestrutura ou payload. Também é recomendável revisar janelas próximas a 14 de abril de 2026, data em que a atividade observada teve pico, sem limitar a investigação a esse dia. Como a exploração ativa já foi indicada, os registros anteriores à aplicação do patch devem ser preservados para análise posterior.
- Requisições à API Jolokia a partir de redes externas ou segmentos não administrativos.
- Operações de gerenciamento associadas à busca de configuração remota pelo broker.
- Autenticação com credenciais padrão ou contas administrativas genéricas em instâncias ActiveMQ.
- Processos filhos, comandos do sistema operacional ou alterações de configuração iniciados pelo contexto do serviço ActiveMQ.
- Conexões de saída inesperadas do host do broker após acesso de gerenciamento.
A mitigação principal é atualizar o Apache ActiveMQ Classic para 5.19.4 ou 6.2.3, conforme o ramo instalado. A atualização deve ser acompanhada de validação do pacote efetivamente carregado pela aplicação, porque ambientes Java podem manter dependências antigas em artefatos, imagens, repositórios internos ou empacotamentos legados. Para instalações com activemq-all, a verificação precisa confirmar que o binário em execução não permanece em uma versão 6.0.0 anterior a 6.2.3. A correção apenas no repositório de código ou no manifesto de dependência não basta se o serviço implantado continuar usando o artefato vulnerável.
Além do patch, a exposição da API Jolokia deve ser revisada. Quando Jolokia não for necessária, a interface deve ser desabilitada. Quando for necessária para operação, o acesso deve ficar restrito a redes confiáveis e a autenticação deve ser fortalecida. Credenciais padrão, especialmente admin:admin, precisam ser removidas. A revisão deve incluir balanceadores, regras de firewall, proxies reversos, grupos de segurança, políticas de acesso e qualquer publicação indireta que torne a interface alcançável fora do perímetro administrativo. O objetivo é reduzir a superfície mesmo após a atualização, porque interfaces de gerenciamento expostas continuam sendo alvo recorrente.
Para resposta a incidente, organizações que identificarem versão vulnerável e exposição de Jolokia devem preservar logs, revisar autenticações administrativas, checar alterações recentes de configuração e procurar comportamento anômalo do processo do broker. Se houver sinais de execução não autorizada, a contenção deve considerar isolamento do host, rotação de credenciais associadas ao serviço e revisão de integrações que usam o broker. Como o contexto não fornece detalhes de payload em exploração, a validação pós-correção deve combinar versão corrigida, bloqueio de acesso indevido à API e ausência de sinais comportamentais compatíveis com abuso da operação de gerenciamento.
- Atualizar para ActiveMQ Classic 5.19.4 ou 6.2.3, de acordo com o ramo em uso.
- Desabilitar Jolokia quando a interface não for necessária para administração ou monitoramento.
- Restringir Jolokia a redes administrativas confiáveis e remover exposição externa.
- Substituir credenciais padrão e aplicar autenticação forte para operações de gerenciamento.
- Revisar logs e telemetria de servidores vulneráveis antes e depois da correção, com atenção a acessos próximos ao pico observado em 14 de abril de 2026.
0 Comentários