A Shadowserver Foundation identificou nesta segunda-feira (20/04) que ao menos 6.400 servidores Apache ActiveMQ expostos na internet continuam vulneráveis a uma falha de injeção de código de alta gravidade. A vulnerabilidade permite que cibercriminosos executem comandos remotos (RCE) em sistemas não corrigidos, comprometendo a integridade de infraestruturas de mensageira corporativa.
Identificada como CVE-2026-34197, a brecha foi descoberta por Naveen Sunkavally, pesquisador da Horizon3.ai, com o auxílio do assistente de inteligência artificial Claude. O fato que mais chama a atenção de especialistas é que o erro permaneceu oculto no código-fonte do software por 13 anos antes de ser detectado. O Apache ActiveMQ é amplamente utilizado como um broker de mensagens de código aberto para comunicação assíncrona entre aplicações Java, o que amplia o raio de alcance para ataques em cadeias de suprimentos digitais.
Mecânica da vulnerabilidade e exploração ativa
A falha técnica reside em uma validação de entrada inadequada na API Jolokia, integrada ao ActiveMQ Classic. Atacantes autenticados podem invocar operações de gerenciamento para forçar o sistema a buscar arquivos de configuração remotos e executar comandos arbitrários no sistema operacional. Embora a exploração exija credenciais, a Horizon3.ai alerta que o uso de senhas padrão, como “admin:admin”, ainda é extremamente comum em ambientes corporativos.
Em certas versões específicas (6.0.0 a 6.1.1), a situação é mais alarmante devido à combinação com outra falha anterior, a CVE-2024-32114. Essa vulnerabilidade secundária expõe a API Jolokia sem qualquer necessidade de autenticação, transformando a CVE-2026-34197 em um vetor de ataque RCE totalmente não autenticado.
A Shadowserver Foundation ressaltou que a Ásia detém o maior volume de endereços IP com impressões digitais do ActiveMQ vulneráveis, seguida pela América do Norte e Europa. A organização monitora tentativas constantes de exploração que visam obter acesso inicial a redes internas de grandes empresas que dependem desses corretores de dados.
Determinação da CISA e impacto no mercado
A gravidade da situação levou a Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) a incluir a CVE-2026-34197 em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) na última quinta-feira (16/04). A agência ordenou que todos os órgãos federais civis apliquem as correções de segurança até o dia 30 de abril de 2026.
Para o mercado de tecnologia, o incidente reforça o perigo de vulnerabilidades legadas em softwares de código aberto fundamentais. A telemetria da Fortinet FortiGuard Labs registrou um pico de tentativas de ataque em 14 de abril, indicando que grupos de ameaças automatizaram a busca por instâncias vulneráveis assim que os detalhes técnicos foram revelados. O impacto para o leitor e para administradores de sistemas é direto: a falha permite exfiltração de dados sensíveis e movimentação lateral dentro de redes privadas.
A Apache Software Foundation liberou correções oficiais em 30 de março. Administradores de sistemas devem atualizar imediatamente para as versões ActiveMQ Classic 6.2.3 ou 5.19.5. Recomenda-se também a análise rigorosa dos logs do broker em busca de conexões suspeitas que utilizem o protocolo de transporte interno VM e o parâmetro de consulta “brokerConfig”, sinais típicos de uma tentativa de intrusão bem-sucedida.
