### Exploitation active de CVE-2026-34197 Une faille de sécurité de haute gravité récemment divulguée dans **Apache ActiveMQ Classic** fait l'objet d'une exploitation active, suscitant un avertissement de la part de la **CISA**. L'agence a ajouté la vulnérabilité, référencée sous le nom de **CVE-2026-34197** (score CVSS : 8.8), à son catalogue de vulnérabilités connues et exploitées (KEV), imposant aux agences du Federal Civilian Executive Branch (FCEB) d'appliquer les correctifs avant le 30 avril 2026. Cela souligne la nature critique de la faille. ### Détails techniques de la vulnérabilité **CVE-2026-34197** implique une validation d'entrée incorrecte conduisant à une injection de code. Selon Naveen Sunkavally de **Horizon3.ai**, cette vulnérabilité existe depuis 13 ans. Un attaquant peut exploiter l'API Jolokia d'**ActiveMQ** pour inciter le broker à récupérer un fichier de configuration distant et à exécuter des commandes OS arbitraires. Sunkavally a noté : "Un attaquant peut invoquer une opération de gestion via l'API Jolokia d'ActiveMQ pour inciter le broker à récupérer un fichier de configuration distant et à exécuter des commandes OS arbitraires." La vulnérabilité nécessite des identifiants, mais les identifiants par défaut (admin:admin) sont souvent utilisés. Notamment, les versions 6.0.0–6.1.1 ne nécessitent pas d'authentification en raison de **CVE-2024-32114**, rendant effectivement **CVE-2026-34197** un RCE non authentifié. ### Versions affectées et atténuation La vulnérabilité affecte les versions suivantes : * Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) avant 5.19.4 * Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 6.0.0 avant 6.2.3 * Apache ActiveMQ (org.apache.activemq:activemq-all) avant 5.19.4 * Apache ActiveMQ (org.apache.activemq:activemq-all) 6.0.0 avant 6.2.3 Il est fortement conseillé aux utilisateurs de mettre à jour vers les versions 5.19.4 ou 6.2.3 pour résoudre le problème. ### Exploitation dans la nature Bien que les détails spécifiques sur l'exploitation de **CVE-2026-34197** soient limités, **SAFE Security** a signalé un ciblage actif des points d'accès Jolokia exposés dans les déploiements **Apache ActiveMQ Classic**. **Fortinet** FortiGuard Labs a également découvert de nombreuses tentatives d'exploitation, atteignant un pic le 14 avril 2026. Ces découvertes soulignent l'effondrement des délais entre la divulgation de la vulnérabilité et son exploitation active. ### ActiveMQ : une cible fréquente **Apache ActiveMQ** a été une cible fréquente pour les attaquants. Des failles dans le broker de messages open-source ont été exploitées à plusieurs reprises dans des campagnes de malware depuis 2021. En août 2025, **CVE-2023-46604** a été utilisé pour déployer le malware Linux DripDropper. ### Recommandations **SAFE Security** conseille d'auditer les déploiements pour les points d'accès Jolokia accessibles extérieurement, de restreindre l'accès, d'appliquer une authentification forte et de désactiver Jolokia lorsque cela n'est pas nécessaire. Compte tenu du rôle d'ActiveMQ dans la messagerie d'entreprise, les interfaces de gestion exposées présentent un risque important d'exfiltration de données, de perturbation de service et de mouvement latéral.