Служба кібербезпеки та безпеки інфраструктури США (CISA) внесла критичну уразливість CVE-2026-34197 в Apache ActiveMQ Classic до свого каталогу Known Exploited Vulnerabilities (KEV). Це означає, що дефект не є теоретичним — він уже використовується у реальних кібератаках і потребує негайного виправлення в усіх середовищах, де використовується ActiveMQ.
CVE-2026-34197: характер уразливості та масштаб ризиків
Уразливість CVE-2026-34197 отримала високий базовий бал CVSS 8.8 і класифікується як помилка перевірки вхідних даних, що призводить до інʼєкції коду. На практиці це відкриває зловмиснику можливість запустити на сервері ActiveMQ довільні команди, тобто реалізувати сценарій віддаленого виконання коду (Remote Code Execution, RCE).
За аналізом експерта Horizon3.ai Навіна Санкаваллі, вразливість фактично «протягом 13 років залишалася на виду». Атакувальник може скористатися Jolokia API, щоб ініціювати керуючу операцію брокера ActiveMQ, змусивши його завантажити віддалений конфігураційний файл і виконати команди операційної системи. Таким чином, допоміжний адміністративний інтерфейс перетворюється на повноцінний канал компрометації.
Jolokia API та роль автентифікації: від помилки конфігурації до повного RCE
Базовий сценарій експлуатації CVE-2026-34197 передбачає наявність доступу до облікового запису в Apache ActiveMQ Classic. Однак у багатьох інсталяціях досі використовуються дефолтні облікові дані admin:admin. У такій ситуації достатньо автоматизованого сканування або простого перебору для отримання доступу до інтерфейсу управління та подальшого виконання шкідливих дій через Jolokia.
Окремий ризик створюють версії 6.0.0–6.1.1. У них присутня додаткова уразливість CVE-2024-32114, через яку інтерфейс Jolokia може бути доступним без будь-якої автентифікації. У таких розгортаннях CVE-2026-34197 фактично перетворюється на повністю неавтентифікований RCE: зловмиснику не потрібні логін і пароль, щоб отримати контроль над брокером повідомлень.
Рішення CISA та включення CVE-2026-34197 до каталогу KEV
Включення CVE-2026-34197 до каталогу CISA Known Exploited Vulnerabilities означає офіційне підтвердження її активної експлуатації. Для федеральних цивільних відомств США (FCEB) встановлено обовʼязковий дедлайн усунення цієї уразливості — до 30 квітня 2026 року.
Хоча формально вимоги KEV стосуються лише FCEB-структур, цей документ де-факто є орієнтиром для всіх організацій — від державних установ і великих корпорацій до постачальників хмарних та SaaS‑сервісів. Системна тенденція останніх років полягає в тому, що час між публікацією інформації про уразливість та її масовою експлуатацією постійно скорочується, і CVE-2026-34197 добре ілюструє цей тренд.
Поточні атаки на Apache ActiveMQ Classic через Jolokia
За даними компанії SAFE Security, зловмисники активно сканують інфраструктури на наявність зовні доступних Jolokia-ендпоінтів в інсталяціях Apache ActiveMQ Classic. Вектор атаки фокусується на керуючих інтерфейсах, які часто захищені слабше, ніж продуктивні сервіси, але надають доступ до критичних операцій брокера повідомлень.
Компрометація таких точок входу дозволяє реалізувати широкий спектр атак: від витоку даних і перехоплення повідомлень до порушення роботи сервісів і латерального переміщення в мережі, коли зламаний ActiveMQ використовується як плацдарм для доступу до інших систем і сегментів інфраструктури.
Чому Apache ActiveMQ залишається привабливою ціллю
Apache ActiveMQ протягом кількох років послідовно залишається однією з популярних цілей для кіберзлочинців. Низка вразливостей у цьому брокері повідомлень регулярно фіксується в кампаніях зі встановлення шкідливого ПЗ та розгортання бекдорів.
У серпні 2025 року критична уразливість CVE-2023-46604 із максимальною оцінкою CVSS 10.0 була задіяна невідомими групами для доставки Linux‑шкідника DripDropper. Це підтверджує сталий інтерес атакувальників до стеку ActiveMQ: цей брокер часто є центральною ланкою корпоративних інтеграцій і конвеєрів даних, а його компрометація дає можливість впливати відразу на велику кількість бізнес-процесів.
Практичні рекомендації з захисту Apache ActiveMQ Classic
Оновлення версій та керування вразливостями
Розробники Apache рекомендують усім користувачам уразливих інсталяцій оперативно перейти на версії 5.19.4 або 6.2.3, де проблема CVE-2026-34197 вже виправлена. Важливо зіставити офіційний перелік уразливих релізів Apache ActiveMQ з фактично розгорнутими у вашій організації версіями та задокументувати результати такої інвентаризації.
Посилення безпеки Jolokia та адміністративних інтерфейсів
Експерти SAFE Security рекомендують такі кроки для мінімізації ризиків експлуатації CVE-2026-34197 через Jolokia API:
1. Провести аудит усіх інсталяцій ActiveMQ і виявити Jolokia-ендпоінти, доступні з інтернету.
2. Обмежити доступ до інтерфейсів управління, дозволивши його лише з довірених мереж або через VPN.
3. Вимкнути Jolokia там, де він не потрібен для бізнес-функцій або моніторингу.
4. Якщо API управління залишається активним, налаштувати сильну автентифікацію, відмовитись від стандартних паролів, впровадити політику їх регулярної ротації та, за можливості, використовувати багатофакторну автентифікацію.
Моніторинг і реагування на інциденти
Організаціям доцільно посилити моніторинг аномальної активності навколо брокерів Apache ActiveMQ Classic. Серед ключових індикаторів варто відстежувати незвичні виклики Jolokia, завантаження нетипових конфігурацій, спроби запуску системних команд та зміни прав доступу. Ці події бажано інтегрувати в SIEM‑систему та процеси реагування на інциденти, щоб мінімізувати час від виявлення до блокування атаки.
З огляду на роль Apache ActiveMQ Classic у критично важливих бізнес-процесах, відкладати оновлення та посилення конфігурації вкрай ризиковано. Оптимальна стратегія зараз — повна інвентаризація всіх розгортань ActiveMQ, негайний перехід на безпечні версії, максимальне обмеження доступу до Jolokia та інших керуючих інтерфейсів і підключення брокерів до централізованого моніторингу безпеки. Своєчасне закриття CVE-2026-34197 та повʼязаних з нею слабких місць істотно знижує ймовірність того, що ActiveMQ стане відправною точкою для масштабного інциденту кібербезпеки.
