Sfruttamento attivo della vulnerabilità RCE di Apache ActiveMQ (CVE-2026-34197)

La U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha confermato lo sfruttamento attivo di una vulnerabilità ad alta gravità per l'esecuzione di codice remoto (RCE) in Apache ActiveMQ Classic, segnalata come CVE-2026-34197. La falla è stata aggiunta al catalogo delle vulnerabilità sfruttate (Known Exploited Vulnerabilities, KEV) del CISA, segnalando un'attività dannosa verificata in natura ed elevando la priorità di rimedio per tutte le organizzazioni che utilizzano le versioni interessate di ActiveMQ.

La falla consente agli aggressori di eseguire comandi arbitrari del sistema operativo sui broker ActiveMQ vulnerabili abusando dell'API di gestione Jolokia JMX-HTTP. In alcune versioni, la vulnerabilità può essere sfruttata senza autenticazione, aumentando significativamente il rischio per gli ambienti esposti a Internet e scarsamente protetti. Si consiglia vivamente alle organizzazioni che utilizzano le versioni interessate di applicare immediatamente una patch e di verificare la presenza di segni di compromissione.

Dettagli tecnici

La CVE-2026-34197 è causata da una convalida impropria dell'input e da percorsi di esecuzione del codice non sicuri in Apache ActiveMQ Classic. In particolare, il problema risiede nel modo in cui l'interfaccia di gestione Jolokia del broker espone operazioni JMX sensibili, come BrokerService.addNetworkConnector().

Un aggressore può sfruttare questo comportamento per costringere il broker a caricare un file di configurazione XML di Spring remoto e controllato dall'aggressore, che viene eseguito durante l'inizializzazione. Poiché Spring istanzia tutti i bean prima che avvenga la validazione, questa sequenza porta all'esecuzione di codice arbitrario all'interno del processo JVM di ActiveMQ.

Sebbene il percorso di exploit richieda tipicamente l'autenticazione, l'uso di credenziali predefinite (admin:admin) è comune nelle implementazioni reali. Inoltre, le versioni di ActiveMQ da 6.0.0 a 6.1.1 sono affette da una vulnerabilità separata (CVE-2024-32114) che espone l'endpoint Jolokia senza autenticazione, rendendo di fatto CVE-2026-34197 un RCE non autenticato in queste versioni.

Prodotti interessati

La vulnerabilità riguarda i seguenti componenti e versioni di Apache ActiveMQ Classic:

• Broker Apache ActiveMQ (activemq-broker)
  • Versioni precedenti alla 5.19.4
  • Versioni da 6.0.0 a prima di 6.2.3
• Apache ActiveMQ (activemq-all)
  • Versioni precedenti alla 5.19.4
  • Versioni da 6.0.0 a prima di 6.2.3

Apache ActiveMQ Artemis non è interessato.

Attività della minaccia e stato dello sfruttamento

Il CISA ha confermato uno sfruttamento attivo in natura, che ha portato all'aggiunta di CVE-2026-34197 al catalogo KEV. Sebbene i dettagli tecnici degli attacchi in corso siano ancora limitati, diversi fornitori di servizi di monitoraggio della sicurezza segnalano un aumento dei tentativi di ricognizione e sfruttamento contro gli endpoint Jolokia esposti pubblicamente e associati ai broker ActiveMQ Classic.

Questo sfruttamento segue uno schema ricorrente: Apache ActiveMQ è stato ripetutamente preso di mira dagli attori delle minacce negli ultimi anni, compreso lo sfruttamento della CVE-2023-46604, che è stata usata come arma nel 2025 per distribuire malware Linux. L'aggiunta di questa vulnerabilità all'elenco KEV segnala una minaccia credibile e continua per gli ambienti aziendali e governativi.

Valutazione dell'impatto

Uno sfruttamento riuscito consente agli aggressori di:

• Eseguire comandi arbitrari a livello di sistema operativo
• Distribuire malware o web shell
• Passare a sistemi adiacenti tramite un'infrastruttura di messaggistica fidata.
• Accedere o manipolare i dati sensibili dei messaggi
• Stabilire backdoor persistenti

Dato il ruolo di middleware di ActiveMQ nei processi aziendali critici, una compromissione può portare a significative interruzioni operative, all'esposizione dei dati e alla compromissione dei sistemi a valle. Il rischio è particolarmente elevato quando i broker sono rivolti a Internet o utilizzano credenziali predefinite.

Indicatori di compromissione (IOC)

Le organizzazioni devono esaminare i registri del broker e delle applicazioni ActiveMQ per individuare le seguenti attività sospette:

• Richieste API Jolokia che fanno riferimento a:
  • addNetworkConnector
  • brokerConfig=xbean:http://
• Connessioni HTTP/HTTPS in uscita inattese avviate dal processo del broker ActiveMQ
• Uso di URI vm:// che fanno riferimento a broker esterni o sconosciuti
• Processi figli non riconosciuti generati dal processo ActiveMQ Java

Questi indicatori possono suggerire un tentativo o un successo di sfruttamento.

Mitigazione e rimedio

• Aggiornare Apache ActiveMQ Classic a:
  • 5.19.4 o successivo (ramo 5.x), o
  • 6.2.3 o versione successiva (ramo 6.x)
• Limitare o disabilitare l'accesso a Jolokia, soprattutto sui sistemi rivolti a Internet.
• Modificare le credenziali predefinite e applicare un'autenticazione forte per le interfacce di gestione.
• Limitare l'esposizione alla rete assicurandosi che le console Web di ActiveMQ e le API di gestione non siano accessibili pubblicamente.
• Esaminare i registri alla ricerca di indicatori di compromissione e avviare una risposta agli incidenti se vengono rilevate attività sospette.

Il CISA raccomanda vivamente di dare priorità alla correzione di questa vulnerabilità indipendentemente dal settore, anche se le scadenze del KEV si applicano formalmente solo alle agenzie federali statunitensi.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più importanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa, mettetevi in contattoper scoprire come potete proteggere la vostra organizzazione.