CISA обязала федеральные агентства обновить Apache ActiveMQ из-за CVE-2026-34197

Агентство по кибербезопасности и защите инфраструктуры США (CISA) включило уязвимость CVE-2026-34197 в свой каталог эксплуатируемых брешей (KEV). Согласно директиве BOD 22-01, федеральные агентства гражданского сектора обязаны устранить проблему в своих системах не позднее 30 апреля или подготовить обоснование невыполнения этих сроков. Столь жесткие требования обусловлены тем, что злоумышленники активно используют этот баг, который находился в кодовой базе Apache ActiveMQ на протяжении 13 лет.

Механика уязвимости и роль ИИ в её поиске

Apache ActiveMQ представляет собой опенсорсный брокер сообщений для передачи данных между сервисами и приложениями. Уязвимость CVE-2026-34197 затрагивает управление через API Jolokia. Проще говоря, ошибка позволяет авторизованному пользователю выполнить произвольный код в операционной системе, превращая инструмент для обмена данными в точку входа для выполнения удаленных команд.

Исследователь компании Horizon3 Навин Сункавалли, ответственный за раскрытие бага, применил в процессе анализа ассистент Claude от Anthropic. Проведенное исследование показало, что критическая ошибка оставалась незамеченной в коде около десятилетия. На текущий момент разработчики уже выпустили исправления, доступные в версиях ActiveMQ 5.19.5 и 6.2.3.

Векторы атаки и проблема дефолтных учетных данных

Хотя технически эксплуатация требует прохождения авторизации, на практике это часто не становится преградой. Многие инсталляции ActiveMQ продолжают функционировать с использованием стандартных учетных данных, таких как «admin:admin», что существенно упрощает процесс первичного доступа. Ситуация усугубляется наличием связки с ранее известной уязвимостью CVE-2024-32114.

В версиях ActiveMQ от 6.0.0 до 6.1.1 старый баг может принудительно открыть доступ к API Jolokia без какой-либо аутентификации. В такой конфигурации CVE-2026-34197 фактически превращается в полноценную удаленную процедуру выполнения кода (RCE), не требующую ввода пароля для входа в систему.

Масштабы угрозы

Включение в каталог CISA KEV подтверждает, что уязвимость эксплуатируется в реальных условиях. Мониторинговый сервис ShadowServer сообщает, что в публичном доступе на сегодняшний день находится более 8 000 экземпляров ActiveMQ. Учитывая историю использования платформы для запуска криптомайнеров и создания инфраструктуры ботнетов, администраторам рекомендовано провести обновление ПО незамедлительно, так как подобные векторы атак представляют собой хорошо изученные методы компрометации систем.