Центр кибербезопасности и безопасности инфраструктуры США (CISA) официально внес новую критическую уязвимость в каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities). Это означает, что специалисты агентства располагают доказательствами её активного использования злоумышленниками в реальных атаках. Уязвимость, получившая идентификатор CVE-2026-34197, затрагивает популярный брокер сообщений с открытым исходным кодом Apache ActiveMQ и позволяет аутентифицированному злоумышленнику выполнить произвольный код на сервере. Данный инцидент в очередной раз подчёркивает риски, связанные с компонентами управления в корпоративных системах, и требует незамедлительного внимания со стороны администраторов и специалистов по информационной безопасности.
Уязвимость CVE-2026-34197
Уязвимость представляет собой комбинацию двух фундаментальных ошибок: некорректной проверки входных данных (CWE-20) и недостаточного контроля генерации кода, приводящего к его внедрению (CWE-94). Проблема кроется во встроенном компоненте Jolokia, который предоставляет HTTP-интерфейс для доступа к JMX-бинам (управляющим объектам Java) системы. По умолчанию политика доступа Jolokia разрешает операции выполнения (exec) для всех MBeans, связанных с ActiveMQ. Эксплуатация уязвимости начинается с того, что аутентифицированный злоумышленник вызывает определённые методы управления брокером, такие как "addNetworkConnector" или "addConnector", передавая в них специально сформированный URI.
Ключевым моментом является использование так называемого VM-транспорта и его параметра "brokerConfig". Этот параметр может быть использован для загрузки конфигурации Spring из удалённого XML-файла. В свою очередь, механизм Spring "ResourceXmlApplicationContext", обрабатывая эту конфигурацию, автоматически создаёт все объявленные в ней объекты-одиночки (singleton beans) ещё до того, как брокер ActiveMQ проведёт валидацию загруженных настроек. Это создаёт условие для цепочки выполнения кода: злоумышленник может определить в XML-файле bean, фабричный метод которого вызывает, например, "Runtime.exec()". Таким образом, вредоносный код выполняется в контексте виртуальной машины Java (JVM), на которой работает брокер, что предоставляет атакующему практически полный контроль над системой.
Уязвимость затрагивает широкий спектр версий Apache ActiveMQ. Под угрозой находятся все версии классической ветки 5.x до 5.19.4, а также версии новой ветки 6.x, начиная с 6.0.0 и до 6.2.3. Это означает, что потенциально уязвимыми могут быть тысячи систем по всему миру, поскольку ActiveMQ является одним из столбов корпоративной интеграции, используемым для построения асинхронных систем обмена сообщениями в финансовом секторе, телекоммуникациях, логистике и многих других отраслях. Учитывая, что для эксплуатации требуется лишь аутентификация в веб-консоли или через Jolokia, угроза становится особенно актуальной для систем, где стандартные учётные данные не были изменены или где злоумышленник смог получить доступ к учётной записи другими способами, например, через утечку данных или фишинг.
Последствия успешной атаки могут быть катастрофическими. Получив возможность выполнять команды на сервере брокера, злоумышленники могут похищать конфиденциальные бизнес-сообщения, проходящие через систему, нарушать работу критически важных процессов, зависящих от очередей сообщений, устанавливать программы-вымогатели или майнеры криптовалюты, а также использовать скомпрометированный сервер в качестве плацдарма для дальнейшего продвижения во внутреннюю сеть организации. Остановка такого ключевого компонента, как брокер сообщений, часто приводит к параличу бизнес-операций, финансовым потерям и репутационному ущербу.
Внесение CVE-2026-34197 в каталог KEV CISA является сигналом для всех федеральных агентств США, которые обязаны в срочном порядке применить заплатки для таких уязвимостей. Однако этот сигнал должен быть услышан и коммерческим организациями по всему миру. Разработчики Apache уже выпустили исправления в версиях ActiveMQ 5.19.4 и 6.2.3. Администраторам настоятельно рекомендуется как можно скорее обновить свои системы до этих версий. В качестве временных мер защиты, если немедленное обновление невозможно, эксперты рекомендуют рассмотреть возможность отключения компонента Jolokia, если он не используется, или строгого ограничения доступа к веб-консоли и эндпоинту "/api/jolokia/" с помощью брандмауэров или систем контроля доступа. Кроме того, крайне важно обеспечить сложность и уникальность учётных данных для доступа к панели управления ActiveMQ и регулярно проводить аудит активности. Данный случай наглядно демонстрирует, как уязвимости в вспомогательных компонентах управления могут открыть путь к полному захвату основной системы, что требует комплексного подхода к безопасности на всех уровнях стека технологий.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-34197
- https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt
- https://www.cisa.gov/news-events/alerts/2026/04/16/cisa-adds-one-known-exploited-vulnerability-catalog
