Apache ActiveMQ Classic: krytyczna luka RCE CVE-2026-34197 wymaga natychmiastowej aktualizacji

Wprowadzenie do problemu / definicja

W Apache ActiveMQ Classic ujawniono podatność oznaczoną jako CVE-2026-34197, która może prowadzić do zdalnego wykonania kodu w procesie brokera wiadomości. Problem wynika z nieprawidłowej walidacji danych wejściowych oraz możliwości nadużycia interfejsu zarządzania opartego o Jolokia i JMX.

Choć w typowym scenariuszu atak wymaga uwierzytelnienia, w części wdrożeń i określonych wersjach produktu ryzyko może być znacznie wyższe. To sprawia, iż luka powinna być traktowana priorytetowo przez zespoły odpowiedzialne za bezpieczeństwo i utrzymanie infrastruktury middleware.

W skrócie

CVE-2026-34197 to wieloletnia luka RCE w Apache ActiveMQ Classic, usunięta dopiero pod koniec marca 2026 roku. Podatność obejmuje gałęzie 5.x przed wersją 5.19.4 oraz 6.x od 6.0.0 do 6.2.2 włącznie.

• Dotyczy wyłącznie Apache ActiveMQ Classic, a nie Artemis.
• Wektor ataku wykorzystuje endpoint /api/jolokia/ i operacje JMX na obiektach MBean.
• Łańcuch prowadzi do załadowania zdalnej konfiguracji Spring XML.
• Efektem może być uruchomienie dowolnego kodu w kontekście JVM brokera.
• W niektórych wersjach ryzyko może obejmować scenariusz bez uwierzytelnienia.

Kontekst / historia

Apache ActiveMQ od lat pozostaje jednym z najczęściej spotykanych brokerów wiadomości w środowiskach integracyjnych, systemach middleware i architekturach przedsiębiorstw. Z uwagi na swoje miejsce w zapleczu aplikacyjnym bywa aktualizowany rzadziej niż usługi wystawione bezpośrednio do internetu, co zwiększa ryzyko długotrwałej ekspozycji na podatności.

W tym przypadku problem dotyczy wyłącznie linii ActiveMQ Classic. Znaczenie incydentu podnosi również fakt, iż szczegóły techniczne zostały upublicznione, a wcześniejsze kampanie ataków na podatności w ActiveMQ pokazują, iż produkt ten pozostaje w obszarze zainteresowania cyberprzestępców.

Analiza techniczna

Źródłem problemu jest sposób udostępniania mostu Jolokia JMX-HTTP pod ścieżką /api/jolokia/ w konsoli webowej ActiveMQ Classic. Domyślna polityka dostępu Jolokia dopuszcza wykonywanie operacji exec na wybranych obiektach MBean, w tym metod administracyjnych odpowiedzialnych za dodawanie konektorów.

Atakujący, który uzyska dostęp do takiego interfejsu, może wykonać operacje administracyjne z odpowiednio przygotowanym parametrem URI. najważniejszy element łańcucha polega na wykorzystaniu mechanizmu VM transport wraz z parametrem brokerConfig, co prowadzi do załadowania zdalnego kontekstu Spring XML.

Następnie mechanizm inicjalizacji kontekstu aplikacyjnego może uruchomić singletony jeszcze przed pełną walidacją konfiguracji przez usługę brokera. W praktyce otwiera to drogę do wywołania niebezpiecznych metod fabrycznych beanów, a w konsekwencji do wykonania poleceń systemowych w kontekście procesu JVM.

Z technicznego punktu widzenia jest to przykład niebezpiecznego połączenia kilku legalnych funkcji administracyjnych: Jolokia, JMX, konektorów sieciowych, transportu VM oraz mechanizmów Spring odpowiedzialnych za ładowanie konfiguracji. Każdy z tych elementów osobno pełni uzasadnioną rolę, ale ich zestawienie tworzy skuteczny wektor nadużycia.

Szczególnie istotny jest scenariusz dotyczący wersji 6.0.0–6.1.1. W tych wydaniach wcześniejsze problemy związane z ekspozycją API Jolokia mogą sprawić, iż CVE-2026-34197 przestaje być wyłącznie luką wymagającą poświadczeń i może prowadzić do praktycznie nieautoryzowanego RCE.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją podatności jest pełne wykonanie kodu na serwerze uruchamiającym broker ActiveMQ. Daje to napastnikowi możliwość instalacji złośliwego oprogramowania, uruchamiania narzędzi post-exploitation, kradzieży danych aplikacyjnych, poruszania się lateralnego w sieci oraz utrwalenia dostępu do środowiska.

Ryzyko jest szczególnie wysokie w organizacjach, które traktują middleware jako system wewnętrzny i nie obejmują go pełnym programem hardeningu ani regularnym patch managementem. Dodatkowym problemem jest fakt, iż broker wiadomości często obsługuje komunikację pomiędzy systemami krytycznymi, więc jego przejęcie może mieć skutki wykraczające poza pojedynczy host.

• Ekspozycja konsoli administracyjnej do szerokich segmentów sieci lub internetu.
• Używanie słabych lub domyślnych danych uwierzytelniających.
• Obecność starszych wersji 6.0.0–6.1.1.
• Brak monitorowania ruchu wychodzącego z brokerów.
• Niski poziom widoczności logów i zdarzeń administracyjnych.

Do potencjalnych wskaźników kompromitacji można zaliczyć nietypowe żądania POST do endpointu Jolokia, wywołania związane z addNetworkConnector, wpisy odwołujące się do vm:// z parametrem brokerConfig=xbean:http, niespodziewane połączenia HTTP wychodzące z procesu brokera oraz nieoczekiwane procesy potomne uruchamiane przez JVM.

Rekomendacje

Podstawowym działaniem naprawczym jest pilna aktualizacja do wersji 5.19.4 lub 6.2.3, zależnie od używanej gałęzi produktu. Równolegle organizacje powinny przeprowadzić przegląd ekspozycji konsoli webowej i wszystkich interfejsów administracyjnych.

• Zidentyfikować wszystkie instancje ActiveMQ Classic w środowiskach produkcyjnych, testowych i deweloperskich.
• Ograniczyć dostęp do konsoli administracyjnej wyłącznie do zaufanych adresów i segmentów sieci.
• Wyłączyć lub odseparować nieużywane interfejsy zarządzania.
• Wymusić silne, unikalne poświadczenia i usunąć konta domyślne.
• Przeanalizować logi brokera, reverse proxy oraz systemów EDR pod kątem aktywności związanej z Jolokia i konektorami.
• Monitorować nietypowe połączenia wychodzące z hostów uruchamiających broker.
• Zweryfikować obecność nieautoryzowanych procesów, zadań harmonogramu, web shelli i artefaktów pobranych z zewnętrznych lokalizacji.

W środowiskach o podwyższonych wymaganiach bezpieczeństwa warto wdrożyć reguły detekcyjne dla wywołań API Jolokia, segmentację ruchu administracyjnego oraz ograniczenia dotyczące ładowania zdalnych zasobów konfiguracyjnych wszędzie tam, gdzie architektura na to pozwala.

Podsumowanie

CVE-2026-34197 pokazuje, iż choćby dojrzałe projekty open source mogą zawierać wieloletnie zależności pomiędzy komponentami, które w określonych warunkach prowadzą do krytycznego RCE. W przypadku Apache ActiveMQ Classic problem jest szczególnie poważny, ponieważ dotyczy centralnego elementu integracyjnego obecnego w wielu środowiskach przedsiębiorstw.

Dla zespołów bezpieczeństwa priorytetem powinno być szybkie wdrożenie poprawek, ograniczenie ekspozycji interfejsów zarządzania oraz aktywne poszukiwanie śladów możliwej kompromitacji. Zwlekanie z aktualizacją zwiększa ryzyko przejęcia systemu i dalszej eskalacji ataku w sieci organizacji.

Źródła

1. https://www.helpnetsecurity.com/2026/04/09/apache-activemq-rce-vulnerability-cve-2026-34197-claude/
2. https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt
3. https://horizon3.ai/attack-research/disclosures/cve-2026-34197-activemq-rce-jolokia/
4. https://www.tenable.com/cve/CVE-2026-34197
5. https://www.cyber.gc.ca/en/alerts-advisories/apache-activemq-security-advisory-av26-330