Faille critique dans Apache ActiveMQ exploitée : CISA ordonne un correctif immédiat
Une vulnérabilité de haute gravité dans **Apache ActiveMQ**, présente depuis 13 ans, est actuellement exploitée activement. La **Cybersecurity and Infrastructure Security Agency (CISA)** des États-Unis a ajouté cette faille à son catalogue de vulnérabilités connues et exploitées, imposant un correctif urgent aux agences fédérales.
**Apache ActiveMQ**, un courtier de messages open-source basé sur Java largement utilisé, est sous le feu des projecteurs en raison de l'exploitation de la **CVE-2026-34197**. Cette vulnérabilité critique, qui permet l'exécution de code à distance, a été récemment corrigée mais fait désormais l'objet d'attaques actives.
### La Vulnérabilité
Découverte par le chercheur de **Horizon3**, **Naveen Sunkavally**, à l'aide de l'assistant IA Claude, la **CVE-2026-34197** découle d'une validation d'entrée incorrecte. Un attaquant authentifié peut exploiter cette faille pour exécuter du code arbitraire via des attaques par injection. La vulnérabilité a été corrigée dans les versions 5.19.4 et 6.2.3 d'ActiveMQ Classic le 30 mars.
Hoprizon3 a averti qu'ActiveMQ est une cible fréquente et que les méthodes d'exploitation sont bien documentées. Ils conseillent vivement aux organisations de prioriser le correctif.
### Exposition généralisée
Selon le service de surveillance des menaces ShadowServer, plus de 7 500 serveurs Apache ActiveMQ sont actuellement exposés en ligne.
*Serveurs ActiveMQ exposés en ligne (Shadowserver)*
### Directive de la CISA
Jeudi, la CISA a ajouté la **CVE-2026-34197** à son catalogue de vulnérabilités connues et exploitées (KEV). Les agences du pouvoir exécutif civil fédéral (FCEB) sont tenues de corriger leurs serveurs ActiveMQ d'ici le 30 avril, conformément à la directive opérationnelle contraignante (BOD) 22-01.
### Détection et Atténuation
Hoprizon3 recommande d'analyser les journaux des brokers ActiveMQ à la recherche de connexions de brokers suspectes utilisant le paramètre de requête `brokerConfig=xbean:http://` et le protocole de transport interne `VM`.
La CISA conseille aux organisations du secteur privé de prioriser également le correctif de la **CVE-2026-34197**.
### Vulnérabilités passées
La CISA a précédemment signalé la **CVE-2023-46604** et la **CVE-2016-3088**, également dans Apache ActiveMQ, comme ayant été exploitées activement. La **CVE-2023-46604** a notamment été ciblée par le gang de ransomware **TellYouThePass**.