Служба кибербезопасности и безопасности инфраструктуры США (CISA) зафиксировала активную эксплуатацию критической уязвимости CVE-2026-34197 в Apache ActiveMQ Classic и внесла её в каталог Known Exploited Vulnerabilities (KEV). Это означает, что речь идёт не о теоретической проблеме, а о реально используемом в атаках векторе взлома, требующем немедленного реагирования.
Что такое CVE-2026-34197 в Apache ActiveMQ Classic
Уязвимость CVE-2026-34197 получила высокий базовый балл CVSS 8.8 и описывается как ошибка проверки входных данных, приводящая к инъекции кода. На практике это даёт злоумышленнику возможность выполнить произвольный код на уязвимом сервере ActiveMQ, то есть реализовать сценарий удалённого выполнения кода (RCE).
Согласно анализу эксперта Horizon3.ai Навина Санкавалли, проблема «13 лет скрывалась на виду». Атакующий может вызвать управляющую операцию через Jolokia API брокера ActiveMQ, заставив его загрузить удалённый конфигурационный файл и выполнить произвольные команды операционной системы. Таким образом, вспомогательный интерфейс администрирования превращается в полноценный канал для компрометации системы.
Роль аутентификации: от требующих логина атак до полностью анонимного RCE
Особенностью CVE-2026-34197 является то, что для её эксплуатации обычно требуются учётные данные. Однако во многих средах по-прежнему используются стандартные логин/пароль admin:admin, что делает задачу злоумышленника существенно проще — достаточно перебора или простейшего сканирования на наличие дефолтных конфигураций.
Ситуация усугубляется для версий 6.0.0–6.1.1. В них существует отдельная уязвимость CVE-2024-32114, из-за которой Jolokia API оказывается доступен без какой-либо аутентификации. В этих релизах CVE-2026-34197 фактически превращается в полностью неаутентифицированный RCE, то есть атакующий может захватить контроль над брокером, не зная логина и пароля вовсе.
CISA добавляет CVE-2026-34197 в KEV: жёсткие сроки для госструктур
CISA включила уязвимость CVE-2026-34197 в официальный каталог Known Exploited Vulnerabilities, обязывающий федеральные гражданские ведомства США устранить проблему до 30 апреля 2026 года. Попадание в KEV означает, что уязвимость уже используется в реальных атаках и рассматривается регулятором как приоритетная к исправлению.
Хотя формально требования KEV адресованы структурам FCEB, их стоит воспринимать как ориентир для всех организаций: от крупных корпораций до поставщиков облачных и SaaS-сервисов. Временное окно между публикацией информации о баге и его массовой эксплуатацией продолжает сокращаться, и CVE-2026-34197 подтверждает этот тренд.
Атаки через Jolokia: что уже наблюдается в реальных инцидентах
По данным компании SAFE Security, злоумышленники активно сканируют инфраструктуры на наличие открытых извне Jolokia-эндпоинтов в развертываниях Apache ActiveMQ Classic. Под прицелом оказываются именно управляющие интерфейсы, которые часто оказываются недостаточно защищёнными, но при этом дают доступ к критичным функциям брокера сообщений.
Такие точки входа позволяют реализовать широкий спектр атак: от утечки данных и перехвата сообщений до нарушения работы сервисов и латерального перемещения по сети, когда взлом ActiveMQ используется как ступенька для проникновения глубже в инфраструктуру.
История атак на Apache ActiveMQ: почему этот брокер стал популярной целью
Apache ActiveMQ уже несколько лет остаётся привлекательной целью для киберпреступников. Начиная с 2021 года его уязвимости регулярно задействуются в различных вредоносных кампаниях. В августе 2025 года критическая уязвимость CVE-2023-46604 с оценкой CVSS 10.0 была использована неизвестными группировками для доставки Linux-малвари DripDropper, что подчёркивает интерес злоумышленников к этому стеку.
Причина проста: ActiveMQ часто находится в центре корпоративных интеграций и конвейеров данных. Компрометация такого узла позволяет атакующему влиять сразу на множество бизнес-процессов, что делает подобные уязвимости особенно ценными с точки зрения киберпреступников.
Рекомендации: как защитить Apache ActiveMQ Classic от эксплуатации CVE-2026-34197
Обновление версий и управление уязвимостями
Разработчики Apache рекомендуют пользователям уязвимых инсталляций переходить на версии 5.19.4 или 6.2.3, в которых проблема устранена. Конкретный перечень затронутых редакций опубликован в официальном уведомлении проекта Apache ActiveMQ, и его следует внимательно сверить с используемыми в организации версиями.
Защита Jolokia и административных интерфейсов
Эксперты SAFE Security рекомендуют:
1. Провести аудит всех развертываний ActiveMQ и выявить внешне доступные Jolokia-эндпоинты.
2. Ограничить доступ к интерфейсам управления, разрешив его только из доверенных сетей или через VPN.
3. Отключить Jolokia в случаях, когда он не используется по функциональным причинам.
4. Везде, где API управления остаётся включённым, настроить сильную аутентификацию, отказаться от стандартных паролей и внедрить политику их регулярной ротации.
Мониторинг и операционные меры
Организациям имеет смысл усилить мониторинг аномальной активности вокруг брокеров сообщений: необычные вызовы Jolokia, загрузка нестандартных конфигураций, попытки запуска системных команд. Важно интегрировать эти события в SIEM и систему реагирования, чтобы сократить время от обнаружения до блокировки атаки.
С учётом роли Apache ActiveMQ Classic в критичных бизнес-процессах, откладывать обновление и укрепление конфигурации крайне рискованно. Чем быстрее будут закрыты уязвимости CVE-2026-34197 и связанные с ними слабые места в Jolokia, тем меньше шансов, что брокер станет точкой входа для серьёзного инцидента кибербезопасности. Сейчас оптимальная стратегия — инвентаризация всех инсталляций ActiveMQ, безотлагательное обновление до безопасных версий и жёсткое ограничение доступа к интерфейсам управления.
