Explotación activa de la vulnerabilidad RCE de Apache ActiveMQ (CVE-2026-34197)

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha confirmado la explotación activa de una vulnerabilidad de ejecución remota de código (RCE) de alta gravedad en Apache ActiveMQ Classic, rastreada como CVE-2026-34197. El fallo se ha añadido al Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA, señalando actividad maliciosa verificada en la naturaleza y elevando la prioridad de remediación para todas las organizaciones que utilizan versiones afectadas de ActiveMQ.

El fallo permite a los atacantes ejecutar comandos arbitrarios del sistema operativo en los brokers ActiveMQ vulnerables abusando de la API de gestión JMX-HTTP de Jolokia. En ciertas versiones, la vulnerabilidad puede ser explotada sin autenticación, aumentando significativamente el riesgo en entornos expuestos a Internet y poco seguros. Se recomienda encarecidamente a las organizaciones que utilicen las versiones afectadas que parcheen inmediatamente e investiguen si hay indicios de compromiso.

Detalles técnicos

CVE-2026-34197 está causado por una validación de entrada incorrecta y rutas de ejecución de código inseguras en Apache ActiveMQ Classic. En concreto, el problema reside en la forma en que la interfaz de gestión Jolokia del broker expone operaciones JMX sensibles, como BrokerService.addNetworkConnector().

Un atacante puede explotar este comportamiento para obligar al broker a cargar un archivo de configuración XML de Spring remoto, controlado por el atacante, que se ejecuta durante la inicialización. Dado que Spring instancia todos los beans antes de que se produzca la validación, esta secuencia da lugar a la ejecución de código arbitrario dentro del proceso JVM de ActiveMQ.

Aunque la ruta del exploit normalmente requiere autenticación, el uso de credenciales por defecto (admin:admin) es común en despliegues del mundo real. Además, las versiones 6.0.0 a 6.1.1 de ActiveMQ están afectadas por una vulnerabilidad independiente (CVE-2024-32114) que expone el endpoint Jolokia sin autenticación, lo que convierte a CVE-2026-34197 en un RCE sin autenticación en esas versiones.

Productos afectados

La vulnerabilidad afecta a los siguientes componentes y versiones de Apache ActiveMQ Classic:

• Apache ActiveMQ Broker (activemq-broker)
  • Versiones anteriores a la 5.19.4
  • Versiones 6.0.0 a anterior a 6.2.3
• Apache ActiveMQ (activemq-all)
  • Versiones anteriores a la 5.19.4
  • Versiones de 6.0.0 a 6.2.3

Apache ActiveMQ Artemis no está afectado.

Actividad de la amenaza y estado de la explotación

CISA ha confirmado la explotación activa en la naturaleza, lo que llevó a la adición de CVE-2026-34197 al Catálogo KEV. Aunque los detalles técnicos de los ataques en directo siguen siendo limitados, varios proveedores de supervisión de la seguridad informan de un aumento de los intentos de reconocimiento y explotación contra puntos finales de Jolokia expuestos públicamente y asociados a agentes ActiveMQ Classic.

Esta explotación sigue un patrón recurrente: En los últimos años, Apache ActiveMQ ha sido objeto de repetidos ataques por parte de actores de amenazas, incluida la explotación de CVE-2023-46604, que se utilizó en 2025 para desplegar malware de Linux. La adición de esta vulnerabilidad a la lista KEV señala una amenaza creíble y continua para los entornos empresariales y gubernamentales.

Evaluación del impacto

Una explotación exitosa permite a los atacantes

• Ejecutar comandos arbitrarios a nivel de sistema operativo
• Desplegar malware o web shells
• Pivotar a sistemas adyacentes a través de la infraestructura de mensajería de confianza
• Acceder o manipular datos sensibles de mensajes
• Establecer puertas traseras persistentes

Dado el papel que desempeña ActiveMQ como middleware en procesos empresariales críticos, un ataque puede provocar una interrupción significativa de las operaciones, la exposición de los datos y el compromiso del sistema. El riesgo es especialmente grave cuando los intermediarios se conectan a Internet o utilizan credenciales predeterminadas.

Indicadores de peligro (IOC)

Las organizaciones deben revisar los registros de aplicaciones y agentes de ActiveMQ para detectar las siguientes actividades sospechosas:

• Solicitudes a la API de Jolokia que hagan referencia a:
  • addNetworkConnector
  • brokerConfig=xbean:http://
• Conexiones HTTP/HTTPS salientes inesperadas iniciadas por el proceso del agente ActiveMQ.
• Uso de URIs vm:// que hacen referencia a brokers desconocidos o externos
• Procesos hijo no reconocidos generados por el proceso Java de ActiveMQ

Estos indicadores pueden sugerir un intento o éxito de explotación.

Mitigación y solución

• Actualice Apache ActiveMQ Classic a:
  • 5.19.4 o posterior (rama 5.x), o bien
  • 6.2.3 o posterior (rama 6.x)
• Restrinja o deshabilite el acceso a Jolokia, especialmente en los sistemas orientados a Internet.
• Cambie las credenciales predeterminadas e imponga una autenticación fuerte para las interfaces de gestión.
• Limite la exposición a la red asegurándose de que las consolas web de ActiveMQ y las API de gestión no sean de acceso público.
• Revise los registros en busca de indicadores de compromiso e inicie la respuesta a incidentes si se detecta actividad sospechosa.

CISA recomienda encarecidamente dar prioridad a la corrección de esta vulnerabilidad independientemente del sector, aunque los plazos de KEV se aplican formalmente sólo a las agencias federales de EE.UU..

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngase en contactopara averiguar cómo puede proteger su organización.