### Exploração Ativa da CVE-2026-34197 Uma falha de segurança de alta severidade recentemente divulgada no **Apache ActiveMQ Classic** está sob exploração ativa, levando a um alerta da **CISA**. A agência adicionou a vulnerabilidade, rastreada como **CVE-2026-34197** (pontuação CVSS: 8.8), ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), exigindo que as agências do Federal Civilian Executive Branch (FCEB) apliquem correções até 30 de abril de 2026. Isso destaca a natureza crítica da falha. ### Detalhes Técnicos da Vulnerabilidade A **CVE-2026-34197** envolve validação inadequada de entrada, levando à injeção de código. De acordo com Naveen Sunkavally, da **Horizon3.ai**, essa vulnerabilidade existe há 13 anos. Um atacante pode alavancar a API Jolokia do **ActiveMQ** para enganar o broker a buscar um arquivo de configuração remoto e executar comandos arbitrários do sistema operacional. Sunkavally observou: "Um atacante pode invocar uma operação de gerenciamento através da API Jolokia do ActiveMQ para enganar o broker a buscar um arquivo de configuração remoto e executar comandos arbitrários do sistema operacional." A vulnerabilidade requer credenciais, mas credenciais padrão (admin:admin) são frequentemente usadas. Notavelmente, as versões 6.0.0–6.1.1 não exigem autenticação devido à **CVE-2024-32114**, tornando efetivamente a **CVE-2026-34197** uma RCE não autenticada. ### Versões Afetadas e Mitigação A vulnerabilidade afeta as seguintes versões: * Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) antes de 5.19.4 * Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 6.0.0 antes de 6.2.3 * Apache ActiveMQ (org.apache.activemq:activemq-all) antes de 5.19.4 * Apache ActiveMQ (org.apache.activemq:activemq-all) 6.0.0 antes de 6.2.3 Os usuários são fortemente aconselhados a atualizar para as versões 5.19.4 ou 6.2.3 para resolver o problema. ### Exploração em Campo Embora detalhes específicos sobre a exploração da **CVE-2026-34197** sejam limitados, a **SAFE Security** relatou o direcionamento ativo de endpoints de gerenciamento Jolokia expostos em implantações do **Apache ActiveMQ Classic**. O FortiGuard Labs da **Fortinet** também descobriu inúmeras tentativas de exploração, com pico em 14 de abril de 2026. Essas descobertas destacam o colapso dos prazos entre a divulgação da vulnerabilidade e a exploração ativa. ### ActiveMQ: Um Alvo Frequente O **Apache ActiveMQ** tem sido um alvo frequente para atacantes. Falhas no broker de mensagens de código aberto têm sido repetidamente exploradas em campanhas de malware desde 2021. Em agosto de 2025, a **CVE-2023-46604** foi utilizada para implantar o malware Linux DripDropper. ### Recomendações A **SAFE Security** aconselha auditar implantações em busca de endpoints Jolokia acessíveis externamente, restringir o acesso, impor autenticação forte e desabilitar o Jolokia onde não for necessário. Dado o papel do ActiveMQ na mensageria corporativa, interfaces de gerenciamento expostas representam um risco significativo de exfiltração de dados, interrupção de serviço e movimento lateral.