Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), una falla de seguridad de alta gravedad recientemente revelada en Apache ActiveMQ Classic está siendo explotada en la naturaleza.
Con ese fin, la agencia está agregando esta vulnerabilidad, rastreada como CVE-2026-34197 (puntaje CVSS: 8.8), a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y exigiendo a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen una solución antes del 30 de abril de 2026.
CVE-2026-34197 se describe como un caso de validación de entrada incorrecta que puede provocar la inyección de código, lo que permite a un atacante ejecutar código arbitrario en una instalación susceptible. Según Naveen Sunkavally de Horizon3.ai, CVE-2026-34197 ha estado «escondido en la oscuridad» durante 13 años.
«Un atacante puede invocar operaciones de administración a través de la API Jolokia de ActiveMQ para engañar al corredor para que recupere archivos de configuración remota y ejecute comandos arbitrarios del sistema operativo», agregó Sunkavally.
«Esta vulnerabilidad requiere credenciales, pero las credenciales predeterminadas (admin:admin) son comunes en muchos entornos. Algunas versiones (6.0.0 – 6.1.1) no requieren ninguna credencial debido a otra vulnerabilidad CVE-2024-32114 que expone incorrectamente la API de Jolokia sin autenticación. En estas versiones, CVE-2026-34197 es efectivamente un RCE no autenticado».
Esta vulnerabilidad afecta a las siguientes versiones:
Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) Apache ActiveMQ Broker anterior a 5.19.4 (org.apache.activemq:activemq-broker) 6.0.0 Apache ActiveMQ anterior a 6.2.3 (org.apache.activemq:activemq-all) Apache ActiveMQ anterior a 5.19.4 (org.apache.activemq:activemq-all) 6.0.0 antes de 6.2.3
Recomendamos actualizar a la versión 5.19.4 o 6.2.3, que resuelve este problema. Aunque actualmente se desconocen los detalles sobre cómo se está explotando CVE-2026-34197 en la naturaleza, SAFE Security reveló en un informe publicado esta semana que los actores de amenazas están apuntando activamente a los puntos finales de administración de Jolokia expuestos en las implementaciones de Apache ActiveMQ Classic.
Los datos de telemetría recopilados por Fortinet FortiGuard Labs también revelaron docenas de intentos de explotación en los últimos días, con un pico de actividad el 14 de abril de 2026.
Este hallazgo muestra una vez más que los programas de explotación continúan fallando, a medida que los atacantes atacan las vulnerabilidades recientemente reveladas a un ritmo alarmante y penetran en los sistemas antes de que puedan ser parcheados.
Apache ActiveMQ es un objetivo de ataque común, con fallas en el intermediario de mensajes de código abierto explotadas repetidamente en varias campañas de malware desde 2021. En agosto de 2025, un atacante desconocido utilizó una vulnerabilidad crítica en ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para lanzar malware de Linux llamado DripDropper.
«Dado el papel de ActiveMQ en la mensajería empresarial y los canales de datos, exponer las interfaces de gestión plantea un riesgo de alto impacto, lo que potencialmente permite fugas de datos, interrupciones del servicio y movimientos laterales», dijo SAFE Security. «Las organizaciones deben auditar todas las implementaciones de terminales Jolokia accesibles externamente, restringir el acceso a redes confiables, imponer una autenticación sólida y desactivar Jolokia cuando no sea necesario».
Source link
