В старых версиях свободного брокера сообщений Apache ActiveMQ существует опасная и уже активно эксплуатируемая уязвимость, которая позволяет злоумышленникам внедрять и выполнять вредоносный код удаленно. Согласно сканированиям Shadowserver Foundation(открывается в новом окне), в мире уязвимыми для этой бреши являются более 6300 серверов. Германия также не остается в стороне.

Apache ActiveMQ — это свободный брокер сообщений, разработанный на языке программирования Java. Программное обеспечение поддерживает несколько протоколов связи, таких как AMQP, STOMP, MQTT, Websocket и Openwire, и обеспечивает обработку клиент-серверных коммуникаций.

Workshops и Weiterbildungen: Администрирование Microsoft 365? Вот как это делается!

Karriere Ratgeber: Digital Omnibus: Медленное прощание Европы с защитой данных

Seminar: Cloud Competence Center: Стратегии, дорожная карта, управление: виртуальный однодневный воркшоп

E-Learning: Exclusive: Microsoft 365 security: protective measures and event management (E-learning in English)

Упомянутая в начале уязвимость зарегистрирована как CVE-2026-34197(открывается в новом окне) и имеет высокий уровень серьезности (CVSS: 8,8). Причиной, согласно описанию уязвимости, является недостаточная проверка вводимых данных. Это позволяет злоумышленникам внедрять собственный код в уязвимые экземпляры ActiveMQ и выполнять его в JVM (виртуальной машине Java).

Многие системы все еще не исправлены

Согласно сканированиям Shadowserver Foundation, в мире(открывается в новом окне) в настоящее время насчитывается 6364 доступных для атаки экземпляров ActiveMQ. Это уже почти на десять процентов меньше, чем 17 апреля, когда организация начала сбор данных и насчитала 7075 уязвимых систем. Тем не менее, большая часть из всего(открывается в новом окне) 7566 доступных онлайн экземпляров ActiveMQ по-прежнему незащищена.

В Европе Shadowserver Foundation недавно насчитала 1342 уязвимых экземпляра Apache ActiveMQ. В сравнении по странам(открывается в новом окне) лидирует Китай с 1206 экземплярами. Далее следуют США (1035), Бразилия (356), Германия (292), Япония (261), Индия (255) и Канада (222).

Атаки уже происходят

Американское агентство по кибербезопасности Cisa всего несколько дней назад выпустило предупреждение(открывается в новом окне), согласно которому CVE-2026-34197 активно эксплуатируется. Однако подробностей о масштабах атак агентство не привело. Администраторам тем не менее следует использовать это как повод оперативно установить доступные патчи для защиты своих систем. Согласно разработчику(открывается в новом окне), защищенными считаются версии ActiveMQ 5.19.4 и 6.2.3.

CVE-2026-34197 была обнаружена исследователем безопасности по имени Навин Сункавали из Horizon3.ai. Согласно сообщению в блоге исследователя(открывается в новом окне), эта уязвимость была внесена в Apache ActiveMQ 13 лет назад и оставалась необнаруженной в течение многих лет, пока Сункавали наконец не выявил ее с помощью ИИ Claude от Anthropic.

Хотя для успешной эксплуатации уязвимости, предположительно, требуются действительные учетные данные, по словам исследователя, это препятствие легко преодолеть в сочетании с другой известной уязвимостью (CVE-2024-32114(открывается в новом окне)) или с использованием стандартных учетных данных администратора по умолчанию (admin:admin), активных на многих системах ActiveMQ.