O **Apache ActiveMQ**, um broker de mensagens open-source amplamente utilizado baseado em Java, está sob ataque devido à exploração da **CVE-2026-34197**. Esta vulnerabilidade crítica, que permite a execução remota de código, foi corrigida recentemente, mas está sendo ativamente visada em ataques. ### A Vulnerabilidade Descoberta pelo pesquisador da **Horizon3**, **Naveen Sunkavally**, com o auxílio do assistente de IA Claude, a **CVE-2026-34197** decorre de uma validação inadequada de entrada. Um atacante autenticado pode explorar essa falha para executar código arbitrário através de ataques de injeção. A vulnerabilidade foi corrigida nas versões Classic do ActiveMQ 5.19.4 e 6.2.3 em 30 de março. A Horizon3 alertou que o ActiveMQ é um alvo frequente e que os métodos de exploração são bem documentados. Eles aconselham fortemente as organizações a priorizarem a correção. ### Exposição Generalizada De acordo com o serviço de monitoramento de ameaças ShadowServer, mais de 7.500 servidores Apache ActiveMQ estão atualmente expostos online.  *Servidores ActiveMQ expostos online (Shadowserver)* ### Diretiva da CISA Na quinta-feira, a CISA adicionou a **CVE-2026-34197** ao seu Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). As agências do Federal Civilian Executive Branch (FCEB) são obrigadas a corrigir seus servidores ActiveMQ até 30 de abril, seguindo a Binding Operational Directive (BOD) 22-01. ### Detecção e Mitigação A Horizon3 recomenda analisar os logs do broker ActiveMQ em busca de conexões de broker suspeitas usando o parâmetro de consulta `brokerConfig=xbean:http://` e o protocolo de transporte interno `VM`. A CISA aconselha as organizações do setor privado a priorizarem a correção da **CVE-2026-34197** também. ### Vulnerabilidades Anteriores A CISA já havia sinalizado a **CVE-2023-46604** e a **CVE-2016-3088**, também no Apache ActiveMQ, como exploradas em ataques. A **CVE-2023-46604** foi notavelmente visada pelo grupo de ransomware **TellYouThePass**.