В сфере информационной безопасности произошло знаковое событие, демонстрирующее растущую роль искусственного интеллекта в анализе защищённости кода. Исследователь Навин Сункавалли с помощью модели искусственного интеллекта Claude обнаружил критическую уязвимость в популярном брокере сообщений Apache ActiveMQ Classic, которая оставалась незамеченной на протяжении тринадцати лет. Эта находка подчёркивает, как большие языковые модели начинают трансформировать традиционный процесс поиска уязвимостей, выполняя за минуты задачи, на которые у специалистов уходили недели рутинного анализа.
Уязвимость CVE-2026-34197
Уязвимость, получившая идентификатор CVE-2026-34197, классифицируется как возможность удалённого выполнения команд. Её эксплуатация позволяет злоумышленнику заставить брокер сообщений загрузить удалённый файл конфигурации и выполнить произвольные команды на уровне операционной системы. Это предоставляет атакующему практически полный контроль над сервером. Для понимания масштаба угрозы важно отметить, что Apache ActiveMQ - это широко распространённое корпоративное программное обеспечение, используемое для обмена сообщениями между различными компонентами сложных IT-систем в финансовом секторе, телекоммуникациях и электронной коммерции. История его эксплуатации группами, распространяющими программы-вымогатели, и государственными хакерскими группировками делает любую новую критическую уязвимость в нём предметом повышенного внимания.
Техническая суть уязвимости кроется во взаимодействии нескольких компонентов системы. ActiveMQ Classic включает веб-консоль управления, которая для своей работы использует фреймворк Jolokia. Этот фреймворк предоставляет управляющим операциям брокера интерфейс в виде REST API. После обнаружения предыдущей уязвимости в 2023 году разработчики по умолчанию ограничили Jolokia операциями только на чтение. Однако, чтобы сохранить функциональность консоли, они оставили разрешения на все операции для собственных управляющих компонентов ActiveMQ, так называемых MBeans. Это всеобъемлющее разрешение и создало опасную лазейку.
Атакующий может вызвать через API Jolokia конкретную операцию с названием "addNetworkConnector". В штатном режиме разработчики используют эту функцию для связи нескольких брокеров между собой в целях балансировки нагрузки. Однако, передав в качестве параметра специально сформированный URI вида "vm://", который изначально предназначен только для внутреннего тестирования, можно заставить брокер попытаться создать новое сетевое соединение. Если указать в этом URI ссылку на вредоносный XML-файл конфигурации Spring, расположенный на удалённом сервере под контролем злоумышленника, брокер загрузит и выполнит его. Это выполнение и даёт атакующему возможность запустить произвольный код. На практике эксплуатация выглядит как отправка простого JSON-запроса к конечной точке API Jolokia, содержащего вредоносный URL.
В стандартной конфигурации для доступа к конечной точке Jolokia требуются учётные данные администратора, часто оставляемые по умолчанию, например, "admin:admin". Однако риск для некоторых организаций существенно выше. В версиях ActiveMQ от 6.0.0 до 6.1.1 присутствует отдельная уязвимость, зарегистрированная как CVE-2024-32114. Она случайно удалила все ограничения безопасности с пути к API Jolokia в этих конкретных выпусках. В результате конечная точка оказывается полностью открытой, что превращает CVE-2026-34197 из уязвимости, требующей аутентификации, в критическую угрозу, позволяющую выполнять код без каких-либо учётных данных. Это значительно упрощает проведение масштабных атак.
Метод обнаружения этой уязвимости заслуживает отдельного внимания. Исследователь использовал модель искусственного интеллекта, предоставив ей задачу проанализировать код на предмет доступных конечных точек и изучить историю предыдущих уязвимостей. Всего за десять минут модель смогла выявить сложное взаимодействие между Jolokia, JMX и сетевыми соединителями, выстроив цепочку, ведущую к возможности удалённого выполнения команд. Этот случай наглядно показывает, как технологии искусственного интеллекта начинают применяться не только для создания угроз, но и для активной защиты, ускоряя и автоматизируя поиск сложных логических ошибок, которые легко упустить при ручном аудите.
Для организаций, использующих ActiveMQ, данная уязвимость должна стать приоритетом для немедленного устранения. Основная рекомендация - незамедлительное обновление до версий ActiveMQ Classic 5.19.4 или 6.2.3. В этих выпусках разработчики устранили опасную возможность использования транспорта "vm://" в удалённых операциях. Кроме того, критически важно изменить все учётные данные по умолчанию, особенно стандартную пару логин-пароль администратора. Специалистам по безопасности также следует настроить мониторинг журналов брокера на предмет подозрительной активности, связанной с созданием сетевых соединителей. Ключевыми индикаторами компрометации являются попытки использования URI "vm://" в сочетании с параметром "brokerConfig=xbean:http", а также неожиданные POST-запросы к пути "/api/jolokia/", содержащие в теле вызов "addNetworkConnector". Дополнительно рекомендуется настраивать оповещения о неожиданных исходящих HTTP-запросах, исходящих от процесса брокера ActiveMQ, или о появлении необычных дочерних процессов, порождённых Java-приложением. Эти меры помогут не только закрыть конкретную уязвимость, но и повысить общий уровень защищённости корпоративной шины сообщений.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-34197
- https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt
- https://horizon3.ai/attack-research/disclosures/cve-2026-34197-activemq-rce-jolokia/
