Exploitation active de la vulnérabilité RCE d'Apache ActiveMQ (CVE-2026-34197)

L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a confirmé l'exploitation active d'une vulnérabilité d'exécution de code à distance (RCE) de grande gravité dans Apache ActiveMQ Classic, répertoriée sous la référence CVE-2026-34197. La faille a été ajoutée au catalogue KEV (Known Exploited Vulnerabilities) de la CISA, signalant une activité malveillante vérifiée dans la nature et élevant la priorité de remédiation pour toutes les organisations utilisant les versions affectées d'ActiveMQ

La faille permet aux attaquants d'exécuter des commandes arbitraires du système d'exploitation sur les brokers ActiveMQ vulnérables en abusant de l'API de gestion Jolokia JMX-HTTP. Dans certaines versions, la vulnérabilité peut être exploitée sans authentification, ce qui augmente considérablement le risque pour les environnements exposés à Internet et mal sécurisés. Il est fortement conseillé aux organisations utilisant les versions affectées de mettre en place des correctifs immédiatement et de rechercher des signes de compromission.

Détails techniques

CVE-2026-34197 est causée par une validation d'entrée incorrecte et des chemins d'exécution de code non sécurisés dans Apache ActiveMQ Classic. Plus précisément, le problème réside dans la façon dont l'interface de gestion Jolokia du courtier expose des opérations JMX sensibles, telles que BrokerService.addNetworkConnector().

Un attaquant peut exploiter ce comportement pour contraindre le courtier à charger un fichier de configuration Spring XML distant, contrôlé par l'attaquant, qui est exécuté pendant l'initialisation. Étant donné que Spring instancie tous les haricots avant la validation, cette séquence entraîne l'exécution de code arbitraire dans le processus JVM ActiveMQ.

Bien que le chemin d'exploitation nécessite généralement une authentification, l'utilisation d'informations d'identification par défaut (admin:admin) est courante dans les déploiements réels. De plus, les versions 6.0.0 à 6.1.1 d'ActiveMQ sont affectées par une vulnérabilité distincte (CVE-2024-32114) qui expose le point de terminaison Jolokia sans authentification, ce qui fait de CVE-2026-34197 un RCE non authentifié dans ces versions.

Produits concernés

La vulnérabilité affecte les composants et versions d'Apache ActiveMQ Classic suivants :

• Apache ActiveMQ Broker (activemq-broker)
  • Versions antérieures à 5.19.4
  • Versions 6.0.0 à 6.2.3
• Apache ActiveMQ (activemq-all)
  • Versions antérieures à 5.19.4
  • Versions 6.0.0 à 6.2.3

Apache ActiveMQ Artemis n'est pas concerné.

Activité de la menace et état de l'exploitation

La CISA a confirmé l'existence d'une exploitation active dans la nature, ce qui a conduit à l'ajout de la CVE-2026-34197 au catalogue KEV. Bien que les détails techniques des attaques en direct restent limités, de nombreux fournisseurs de surveillance de la sécurité signalent une augmentation des tentatives de reconnaissance et d'exploitation contre les points d'extrémité Jolokia exposés publiquement et associés aux courtiers ActiveMQ Classic.

Cette exploitation suit un schéma récurrent : Apache ActiveMQ a été ciblé à plusieurs reprises par des acteurs menaçants au cours des dernières années, notamment par l'exploitation de la vulnérabilité CVE-2023-46604, qui a été utilisée en 2025 pour déployer des logiciels malveillants sous Linux. L'ajout de cette vulnérabilité à la liste KEV signale une menace crédible et permanente pour les environnements des entreprises et des gouvernements.

Évaluation de l'impact

Une exploitation réussie permet aux attaquants de :

• d'exécuter des commandes arbitraires au niveau du système d'exploitation
• Déployer des logiciels malveillants ou des shells web
• Pivoter vers des systèmes adjacents via une infrastructure de messagerie de confiance
• d'accéder aux données sensibles des messages ou de les manipuler
• créer des portes dérobées persistantes.

Étant donné le rôle d'ActiveMQ en tant qu'intergiciel dans les processus commerciaux critiques, la compromission peut conduire à une perturbation opérationnelle importante, à l'exposition des données et à la compromission des systèmes en aval. Le risque est particulièrement élevé lorsque les courtiers sont connectés à Internet ou utilisent des identifiants par défaut.

Indicateurs de compromission (IOC)

Les organisations doivent examiner le courtier ActiveMQ et les journaux d'application pour détecter les activités suspectes suivantes :

• Requêtes API Jolokia faisant référence à :
  • addNetworkConnector
  • brokerConfig=xbean:http://
• Connexions HTTP/HTTPS sortantes inattendues lancées par le processus du courtier ActiveMQ
• Utilisation d'URI vm:// référençant des courtiers inconnus ou externes
• Processus enfants non reconnus créés par le processus Java ActiveMQ

Ces indicateurs peuvent suggérer une tentative d'exploitation ou une exploitation réussie.

Atténuation et remédiation

• Mettez à jour Apache ActiveMQ Classic vers :
  • 5.19.4 ou version ultérieure (branche 5.x), ou
  • 6.2.3 ou version ultérieure (branche 6.x)
• Restreindre ou désactiver l'accès à Jolokia, en particulier sur les systèmes connectés à Internet.
• Modifier les informations d'identification par défaut et appliquer une authentification forte pour les interfaces de gestion.
• Limiter l'exposition du réseau en s'assurant que les consoles web ActiveMQ et les API de gestion ne sont pas accessibles au public.
• Examiner les journaux à la recherche d'indicateurs de compromission et lancer une réponse en cas d'incident si une activité suspecte est détectée.

La CISA recommande vivement de donner la priorité à la correction de cette vulnérabilité, quel que soit le secteur, même si les délais de la KEV ne s'appliquent officiellement qu'aux agences fédérales américaines.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien prenez contact avec nouspour savoir comment vous pouvez protéger votre organisation.