Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
W Apache ActiveMQ Classic ujawniono poważną podatność zdalnego wykonania kodu oznaczoną jako CVE-2026-34197. Luka dotyczy mechanizmu zarządzania przez interfejs Jolokia oraz sposobu przetwarzania żądań, które mogą doprowadzić do załadowania zewnętrznej konfiguracji Spring XML. W praktyce oznacza to możliwość uruchomienia dowolnych poleceń w kontekście procesu Java działającego po stronie serwera.
W skrócie
Podatność została ujawniona 8 kwietnia 2026 roku i otrzymała ocenę CVSS 8.8. Problem dotyczy Apache ActiveMQ Classic w wersjach wcześniejszych niż 5.19.4 oraz w linii 6.0.0–6.2.2, naprawionej w wydaniu 6.2.3.
- Luka umożliwia zdalne wykonanie kodu w procesie brokera.
- Atak wykorzystuje operacje administracyjne dostępne przez Jolokia.
- W niektórych wdrożeniach ścieżka ataku może być osiągalna bez autoryzacji.
- Ryzyko rośnie, jeśli interfejsy zarządzania są wystawione do Internetu.
Kontekst / historia
Apache ActiveMQ to popularny broker wiadomości wykorzystywany w środowiskach enterprise, systemach integracyjnych i aplikacjach Java. Mimo rozwoju nowszych rozwiązań, gałąź Classic nadal pozostaje obecna w wielu starszych i długo utrzymywanych wdrożeniach.
Szczególną uwagę zwraca fakt, że podatność mogła pozostawać niezauważona przez około 13 lat. Nie wynika ona z jednego oczywistego błędu, lecz z niebezpiecznej interakcji kilku funkcji administracyjnych i mechanizmów dynamicznej konfiguracji, które osobno wydawały się działać zgodnie z założeniami.
To nie pierwszy przypadek, gdy ActiveMQ staje się celem ataków wykorzystujących błędy RCE. Z perspektywy zespołów bezpieczeństwa oznacza to, że nowe ujawnienie należy traktować priorytetowo, zwłaszcza tam, gdzie środowiska brokerskie są dostępne z sieci zewnętrznych lub nie były aktualizowane od dłuższego czasu.
Analiza techniczna
Źródłem problemu jest ekspozycja mostu Jolokia JMX-HTTP przez interfejs administracyjny. Domyślna polityka dostępu pozwala na wykonywanie operacji typu exec wobec określonych obiektów MBean związanych z ActiveMQ, w tym metod używanych do dynamicznego dodawania konektorów.
Napastnik z dostępem do Jolokia może przesłać spreparowane żądanie zawierające specjalny URI wykrywania usług. Taki łańcuch prowadzi do użycia parametru brokerConfig w transporcie VM, a następnie do załadowania zdalnego kontekstu aplikacji Spring XML. Istotne jest to, że inicjalizacja określonych komponentów może nastąpić jeszcze przed pełną walidacją konfiguracji przez broker.
W rezultacie złośliwie przygotowany plik XML może doprowadzić do wywołania metod tworzących obiekty i finalnie do wykonania poleceń systemowych, na przykład przez mechanizmy pokroju Runtime.exec(). Nie jest to klasyczny przypadek deserializacji, lecz przykład łańcuchowego nadużycia legalnych funkcji administracyjnych i sposobu inicjalizacji komponentów frameworka Spring.
W praktyce oznacza to podatność typu code injection prowadzącą do RCE w procesie JVM brokera. Chociaż podstawowy scenariusz wymaga dostępu do interfejsu Jolokia, wcześniejsze problemy z kontrolą dostępu w części wersji mogą sprawić, że w niektórych środowiskach ścieżka eksploatacji stanie się dostępna również bez poprawnego uwierzytelnienia.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem podatności jest pełne zdalne wykonanie kodu na serwerze ActiveMQ. Jeśli broker działa z szerokimi uprawnieniami systemowymi, atak może doprowadzić do przejęcia hosta, uruchomienia narzędzi post-exploitation, ruchu bocznego w sieci, kradzieży poświadczeń aplikacyjnych lub wdrożenia ransomware.
Ryzyko operacyjne jest szczególnie wysokie, ponieważ ActiveMQ często pełni rolę centralnego komponentu integracyjnego, pośrednicząc w komunikacji między usługami i systemami. Przejęcie takiego elementu infrastruktury może dać napastnikowi dostęp do wrażliwych przepływów danych oraz ułatwić dalszą eskalację w środowisku.
Dodatkowym problemem pozostaje detekcja. Oznaki błędnej konfiguracji mogą pojawić się w logach dopiero po uruchomieniu złośliwego ładunku, dlatego sama obecność pozornie niegroźnych komunikatów administracyjnych nie wyklucza skutecznego ataku.
Rekomendacje
Najważniejszym działaniem naprawczym jest pilna aktualizacja Apache ActiveMQ Classic do wersji 5.19.4 albo 6.2.3 lub nowszej, zależnie od używanej gałęzi. Organizacje powinny potraktować tę zmianę jako priorytet.
- Ograniczyć dostęp do konsoli administracyjnej i endpointów Jolokia wyłącznie do zaufanych sieci zarządzających.
- Zweryfikować, czy interfejsy administracyjne nie są publicznie dostępne z Internetu.
- Wymusić silne uwierzytelnianie i segmentację dostępu do funkcji JMX/HTTP.
- Przeanalizować logi pod kątem nietypowych połączeń wykorzystujących transport VM oraz parametr
brokerConfig=xbean:http://. - Monitorować próby dynamicznego dodawania konektorów i ładowania konfiguracji.
- Uruchomić hunting pod kątem oznak tworzenia procesów potomnych przez JVM brokera.
- Sprawdzić hosty z ActiveMQ pod kątem symptomów dalszej kompromitacji, takich jak nowe zadania, skrypty, tunele sieciowe lub nieautoryzowane połączenia wychodzące.
W środowiskach o wyższym poziomie rygoru bezpieczeństwa warto także czasowo wyłączyć zbędne funkcje administracyjne oraz zastosować dodatkowe filtrowanie ruchu do ścieżek zarządzania.
Podsumowanie
CVE-2026-34197 to poważna podatność RCE w Apache ActiveMQ Classic, która przez lata mogła pozostawać ukryta z powodu złożonej interakcji kilku poprawnie działających komponentów. Dla organizacji korzystających z tego brokera kluczowe znaczenie mają szybka aktualizacja, ograniczenie ekspozycji interfejsów zarządzania oraz przegląd logów i telemetrii pod kątem prób wykorzystania nowej ścieżki ataku.
Źródła
- BleepingComputer — https://www.bleepingcomputer.com/news/security/13-year-old-bug-in-activemq-lets-hackers-remotely-execute-commands/
- Apache ActiveMQ Security Advisory: CVE-2026-34197 — https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt
- CVE Record: CVE-2026-34197 — https://www.cve.org/CVERecord?id=CVE-2026-34197
- Apache ActiveMQ Security Advisories — https://activemq.apache.org/security-advisories