A organização de segurança sem fins lucrativos Shadowserver identificou mais de 6.400 servidores Apache ActiveMQ expostos na internet e vulneráveis a ataques em andamento que exploram uma falha de code injection de alta gravidade.
O Apache ActiveMQ é o broker de mensagens open-source mais popular para comunicação assíncrona entre aplicações Java e suporta múltiplos protocolos.
A vulnerabilidade, rastreada como
CVE-2026-34197
, foi descoberta pelo pesquisador Naveen Sunkavally, da Horizon3, com a ajuda do assistente de IA Claude, depois de permanecer sem ser detectada por 13 anos.
Segundo Sunkavally, a falha ocorre por uma validação inadequada de entrada, o que permite que agentes maliciosos autenticados executem código arbitrário em sistemas sem patch.
Os mantenedores do Apache corrigiram o problema em 30 de março, nas versões ActiveMQ Classic 6.2.3 e 5.19.4.
Na segunda-feira, o serviço de monitoramento Shadowserver alertou que mais de 6.400 endereços IP com sinais de Apache ActiveMQ expostos online também estão vulneráveis a ataques que exploram a
CVE-2026-34197
.
A maioria está na Ásia, com 2.925 registros, seguida pela América do Norte, com 1.409, e pela Europa, com 1.334.
A U.S. Cybersecurity and Infrastructure Security Agency, a CISA, também alertou na quinta-feira que essa vulnerabilidade no Apache ActiveMQ já está sendo explorada ativamente em ataques e determinou que as agências civis federais dos Estados Unidos protejam seus servidores até 30 de abril.
"Esse tipo de vulnerabilidade é um vetor de ataque frequente para agentes cibernéticos maliciosos e representa riscos significativos para o ambiente federal”, advertiu a agência
“Aplique as mitigações conforme as instruções do fornecedor, siga a orientação aplicável da BOD 22-01 para serviços em nuvem ou interrompa o uso do produto caso não haja mitigação disponível.”
Os pesquisadores da Horizon3 recomendaram que administradores verifiquem os logs do broker ActiveMQ em busca de sinais de exploração, observando conexões suspeitas que usem o protocolo interno VM e o parâmetro de consulta brokerConfig=xbean:http://.
“Recomendamos que organizações que operam ActiveMQ tratem isso como prioridade máxima, já que o ActiveMQ tem sido alvo recorrente de ataques reais e os métodos de exploração e pós-exploração são amplamente conhecidos”, alertou a Horizon3.
Nos últimos anos, a CISA também incluiu outras duas vulnerabilidades do Apache ActiveMQ entre as falhas exploradas no mundo real, identificadas como
CVE-2016-3088
e
CVE-2023-46604
.
Esta última foi usada pelo grupo de ransomware TellYouThePass como uma falha zero-day.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...