Vulnerabilidad crítica en Apache ActiveMQ expuesta y explotada activamente

Una vulnerabilidad de alta gravedad recientemente descubierta en Apache ActiveMQ Classic está siendo explotada activamente, según la Agencia de Ciberseguridad y Seguridad de la Infraestructura de EE. UU. (CISA). La agencia ha añadido la vulnerabilidad, identificada como CVE-2026-34197, a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias federales que apliquen las correcciones antes del 30 de abril de 2026.

¿Cómo funciona el ataque?

La vulnerabilidad CVE-2026-34197 se debe a una validación incorrecta de las entradas, lo que podría permitir la inyección de código. Esto significa que un atacante podría ejecutar código arbitrario en instalaciones vulnerables. Según Naveen Sunkavally de Horizon3.ai, esta vulnerabilidad ha estado "escondida a plena vista" durante 13 años.

• Un atacante puede invocar una operación de gestión a través de la API Jolokia de ActiveMQ para engañar al broker y obligarlo a obtener un archivo de configuración remoto y ejecutar comandos arbitrarios del sistema operativo.
• La vulnerabilidad requiere credenciales, pero las credenciales predeterminadas (admin:admin) son comunes en muchos entornos.
• En algunas versiones (6.0.0–6.1.1), no se requieren credenciales debido a otra vulnerabilidad, CVE-2024-32114, que expone inadvertidamente la API de Jolokia sin autenticación. En esas versiones, CVE-2026-34197 es efectivamente una ejecución remota de código (RCE) no autenticada. Un RCE permite a un atacante ejecutar código en un sistema de forma remota.

¿A quién afecta?

La vulnerabilidad afecta a las siguientes versiones:

• Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) anterior a 5.19.4
• Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 6.0.0 anterior a 6.2.3
• Apache ActiveMQ (org.apache.activemq:activemq-all) anterior a 5.19.4
• Apache ActiveMQ (org.apache.activemq:activemq-all) 6.0.0 anterior a 6.2.3

Se recomienda a los usuarios que actualicen a la versión 5.19.4 o 6.2.3, que soluciona el problema. Aunque actualmente no hay detalles sobre cómo se está explotando CVE-2026-34197, SAFE Security reveló que los actores de amenazas están apuntando activamente a los endpoints de gestión de Jolokia expuestos en las implementaciones de Apache ActiveMQ Classic.

¿Qué significa esto para ti?

Esta situación demuestra que los plazos de explotación se están reduciendo a medida que los atacantes aprovechan las vulnerabilidades recién descubiertas a un ritmo alarmantemente rápido y vulneran los sistemas antes de que puedan ser parcheados. Apache ActiveMQ es un objetivo popular para los ataques, y los fallos en el broker de mensajería de código abierto se han explotado repetidamente en varias campañas de malware desde 2021.

Dado el papel de ActiveMQ en la mensajería empresarial y las canalizaciones de datos, las interfaces de gestión expuestas presentan un riesgo de alto impacto, lo que podría permitir la exfiltración de datos, la interrupción del servicio o el movimiento lateral. SAFE Security recomienda auditar todas las implementaciones en busca de endpoints de Jolokia accesibles externamente, restringir el acceso a redes de confianza, aplicar una autenticación fuerte y desactivar Jolokia donde no sea necesario.