U.S. Cybersecurity and Infrastructure Security Agency (CISA) har bekräftat aktivt utnyttjande av en höggradig sårbarhet för fjärrkörning av kod (RCE) i Apache ActiveMQ Classic, spårad som CVE-2026-34197. Bristen har lagts till i CISA:s katalog över kända exploaterade sårbarheter (KEV), vilket signalerar verifierad skadlig aktivitet i naturen och höjer åtgärdsprioriteten för alla organisationer som använder berörda versioner av ActiveMQ

Bristen gör det möjligt för angripare att utföra godtyckliga operativsystemkommandon på sårbara ActiveMQ-brokers genom att missbruka Jolokia JMX-HTTP-hanterings-API. I vissa versioner kan sårbarheten utnyttjas utan autentisering, vilket avsevärt ökar risken för internetexponerade och dåligt säkrade miljöer. Organisationer som kör berörda versioner rekommenderas starkt att omedelbart patcha och undersöka om det finns tecken på kompromettering.

Tekniska detaljer

CVE-2026-34197 orsakas av felaktig validering av indata och osäkra vägar för exekvering av kod i Apache ActiveMQ Classic. Specifikt ligger problemet i det sätt på vilket mäklarens Jolokia-hanteringsgränssnitt exponerar känsliga JMX-operationer, såsom BrokerService.addNetworkConnector().

En angripare kan utnyttja detta beteende för att tvinga mäklaren att ladda en fjärrstyrd, angriparkontrollerad Spring XML-konfigurationsfil, som körs under initialiseringen. Eftersom Spring instansierar alla bönor innan validering sker, resulterar denna sekvens i godtycklig exekvering av kod inom ActiveMQ JVM-processen.

Även om exploateringssökvägen vanligtvis kräver autentisering, är användningen av standardautentiseringsuppgifter (admin:admin) vanlig i verkliga implementeringar. Dessutom påverkas ActiveMQ-versionerna 6.0.0 till 6.1.1 av en separat sårbarhet (CVE-2024-32114) som exponerar Jolokia-slutpunkten utan autentisering, vilket effektivt gör CVE-2026-34197 till en oautentiserad RCE i dessa versioner.

Berörda produkter

Sårbarheten påverkar följande Apache ActiveMQ Classic-komponenter och versioner:

    • Apache ActiveMQ-mäklare (activemq-broker)
      • Versioner före 5.19.4
      • Versioner 6.0.0 till före 6.2.3
    • Apache ActiveMQ (activemq-all)
      • Versioner före 5.19.4
      • Versioner 6.0.0 till före 6.2.3

Apache ActiveMQ Artemis påverkas inte.

Hotaktivitet och exploateringsstatus

CISA har bekräftat aktiv exploatering i naturen, vilket ledde till att CVE-2026-34197 lades till i KEV-katalogen. Medan tekniska detaljer om live-attacker fortfarande är begränsade, rapporterar flera säkerhetsövervakningsleverantörer ökande rekognoserings- och exploateringsförsök mot offentligt exponerade Jolokia-slutpunkter associerade med ActiveMQ Classic-brokers.

Denna exploatering följer ett återkommande mönster: Apache ActiveMQ har upprepade gånger varit måltavla för hotaktörer under de senaste åren, inklusive utnyttjande av CVE-2023-46604, som 2025 användes som vapen för att distribuera skadlig kod för Linux. Tillägget av denna sårbarhet till KEV-listan signalerar ett trovärdigt och pågående hot mot företags- och regeringsmiljöer.

Bedömning av påverkan

Framgångsrikt utnyttjande gör det möjligt för angripare att:

    • Exekvera godtyckliga kommandon på OS-nivå
    • Distribuera skadlig kod eller webbskal
    • Pivotera till angränsande system via betrodd meddelandeinfrastruktur
    • Få tillgång till eller manipulera känsliga meddelandedata
    • Etablera ihållande bakdörrar

Med tanke på ActiveMQ:s roll som mellanprogram i kritiska affärsprocesser kan intrång leda till betydande driftstörningar, dataexponering och systemkompromittering i senare led. Risken är särskilt akut där mäklare är vända mot internet eller använder standardautentiseringsuppgifter.

Indikatorer på kompromettering (IOC)

Organisationer bör granska ActiveMQ-broker- och applikationsloggar för följande misstänkta aktiviteter:

    • Jolokia API-förfrågningar som refererar till:
      • addNetworkConnector
      • brokerConfig=xbean:http://
    • Oväntade utgående HTTP/HTTPS-anslutningar som initieras av ActiveMQ-mäklarprocessen
    • Användning av vm:// URI:er som refererar till okända eller externa mäklare
    • Oigenkända barnprocesser som skapats av ActiveMQ Java-processen

Dessa indikatorer kan tyda på försök till eller lyckad exploatering.

Förmildrande och avhjälpande åtgärder

    • Uppgradera Apache ActiveMQ Classic till:
      • 5.19.4 eller senare (5.x branch), eller
      • 6.2.3 eller senare (6.x-grenen)
    • Begränsa eller inaktivera Jolokia-åtkomst, särskilt på system som vetter mot internet.
    • Ändra standardautentiseringsuppgifter och tvinga fram stark autentisering för hanteringsgränssnitt.
    • Begränsa nätverksexponeringen genom att se till att ActiveMQ-webbkonsoler och hanterings-API:er inte är allmänt tillgängliga.
    • Granska loggar för indikatorer på kompromisser och initiera incidentrespons om misstänkt aktivitet upptäcks.

CISA rekommenderar starkt att man prioriterar att åtgärda denna sårbarhet oavsett sektor, även om KEV-tidsfristerna formellt endast gäller för amerikanska federala myndigheter.

Om du är orolig för något av de hot som beskrivs i den här bulletinen eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kontoansvarige, eller alternativt kontakta oss för att ta reda påhur du kan skydda din organisation.

 

Kontakta oss