La vulnerabilidad CVE-2026-34197 permite ejecución remota de código mediante el puente Jolokia expuesto en la consola web. CISA ordena remediación antes del 30 de abril para agencias federales.
La Fundación Apache liberó el martes pasado versiones parcheadas de ActiveMQ Classic tras confirmarse la explotación activa de una vulnerabilidad de ejecución remota de código rastreada como CVE-2026-34197. El Instituto Nacional de Estándares y Tecnología (NIST) asignó una puntuación CVSS 8.8 al fallo, que permite a atacantes autenticados ejecutar código arbitrario en el broker mediante el puente Jolokia expuesto en la consola web. La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) agregó el CVE a su catálogo de vulnerabilidades explotadas conocidas el 16 de abril, ordenando a las agencias federales remediarlo antes del 30 de abril.
La vulnerabilidad afecta las ramas 5.x anteriores a 5.19.4 y las versiones 6.0.0 hasta antes de 6.2.3. El mecanismo de ataque explota el endpoint /api/jolokia/ de la consola web, donde la política de acceso por defecto permite operaciones exec en todos los MBeans de ActiveMQ. Un atacante puede invocar métodos como BrokerService.addNetworkConnector(String) o BrokerService.addConnector(String) con un URI de descubrimiento malicioso que activa el parámetro brokerConfig del transporte VM para cargar un contexto de aplicación Spring XML remoto mediante ResourceXmlApplicationContext.
El vector técnico es particularmente insidioso porque Spring instancia todos los beans singleton antes de que BrokerService valide la configuración. Esto permite ejecutar código arbitrario en la JVM del broker a través de métodos de fábrica como Runtime.exec(). Aunque la explotación requiere autenticación, las credenciales por defecto admin:admin están ampliamente desplegadas en entornos de producción. Peor aún, en versiones 6.0.0 a 6.1.1, el CVE-2024-32114 expone inadvertidamente la API Jolokia sin autenticación, convirtiendo a CVE-2026-34197 en un RCE no autenticado cuando se encadenan ambas fallas.
CISA confirmó la explotación activa al incorporar la vulnerabilidad a su catálogo KEV bajo la Directiva Operativa Vinculante 22-01. El descubrimiento, atribuido a los investigadores de Horizon3.ai, reveló que el fallo había permanecido "oculto a plena vista" durante 13 años en el código base. Fortinet reportó docenas de intentos de explotación en la última semana, aunque no se han publicado detalles sobre las campañas específicas ni los actores involucrados.
Las organizaciones deben actualizar inmediatamente a ActiveMQ 5.19.4 o 6.2.3 según corresponda. Para entornos donde la actualización inmediata no sea viable, se recomienda restringir el acceso a la consola web únicamente a redes confiables, deshabilitar Jolokia si no es requerido operacionalmente y rotar las credenciales por defecto.
Apache ActiveMQ ha sido objetivo recurrente de campañas de malware desde 2021, incluyendo el despliegue de ransomware y loaders como DripDropper, lo que eleva el riesgo de exposición en organizaciones con instancias accesibles desde internet.
FUENTE ORIGINAL
CISA↗CURADO POR
Johan Ricardo