КИБЕРБЕЗОПАСНОСТЬ

Найден 13-летний баг в ActiveMQ — удалённый запуск команд возможен

Уязвимость CVE-2026-34197 в ActiveMQ позволяет атаки через 13 лет незаметности. Исследователи призывают к срочным обновлениям.

✍️ Редакция iTech News | 08.04.2026 | ⏱ 2 мин | 👁 1 | Источник: BleepingComputer

Уязвимость в ActiveMQ позволяет удалённый запуск команд

В исследовании обнаружена уязвимость в Apache ActiveMQ Classic, существующая уже 13 лет, которая позволяет злоумышленникам удалённо выполнять команды. Уязвимость, обозначенная CVE-2026-34197, имеет высокий уровень серьёзности 8,8 из 10 и затрагивает версии ActiveMQ до 5.19.4 и все версии от 6.0.0 до 6.2.3.

Проблема с классическим ActiveMQ

Apache ActiveMQ — это популярный брокер сообщений, используемый для асинхронной передачи этих в различных системах, включая корпоративные и государственные. Несмотря на то, что существует более современная версия ActiveMQ Artemis с улучшенной производительностью, классическая версия продолжает широко использоваться. Специалисты рекомендуют немедленно обновить систему.

Уязвимость была идентифицирована исследователем Naveen Sunkavally с помощью ИИ-помощника Claude, который нашёл путь эксплуатации, анализируя взаимодействие компонентов. По словам Sunkavally, проблема заключена в API Jolokia, который открывает уязвимую функцию, позволяющую загружать внешние конфигурации и выполнять произвольные команды при инициализации брокера.

Риски и рекомендации

Исследователи Horizon3 подчеркивают опасности этой уязвимости. Хотя пока нет сообщений о её активной эксплуатации, в логах ActiveMQ уже замечены подозрительные соединения, что указывает на потенциальную атаку. Рекомендуется обращать внимание на соединения, использующие внутренний транспортный протокол VM и параметр brokerConfig, в противном случае системы могут стать жертвой хакеров.

Для пользователей ActiveMQ, особенно в России, важным шагом будет обновление до исправленных версий, так как предыдущие уязвимости активно использовались злоумышленниками. Например, CVE-2016-3088 и CVE-2023-46604 уже стали известными грабителями, на которых стоит обратить внимание.

В финале, исследователи подчеркивают необходимость немедленных мер: уязвимость требует аутентификации в API Jolokia, однако версия 6.0.0 — 6.1.1 может быть экплуатирована без аутентификации из-за другой ошибки с идентификатором CVE-2024-32114, что подчеркивает всеобъемлющую уязвимость системы.