Apache Activemq

Pesquisadores de segurança descobriram uma vulnerabilidade de execução remota de código (RCE) no Apache ActiveMQ Classic, que permaneceu indetectada por 13 anos. A falha, identificada como CVE-2026-34197, recebeu uma pontuação de severidade alta de 8.8 e afeta versões anteriores à 5.19.4 e todas as versões entre 6.0.0 e 6.2.3. O ActiveMQ, um broker de mensagens open-source escrito em Java, é amplamente utilizado em sistemas empresariais e governamentais. A vulnerabilidade foi encontrada pelo pesquisador Naveen Sunkavally, que utilizou o assistente de IA Claude para analisar a interação entre componentes do ActiveMQ. A falha permite que um atacante, ao enviar uma solicitação especialmente elaborada, force o broker a buscar um arquivo XML remoto e executar comandos do sistema durante sua inicialização. Embora a autenticação seja necessária via API Jolokia, versões específicas estão vulneráveis sem autenticação devido a outro bug. Os pesquisadores alertam que, embora a CVE-2026-34197 não esteja sendo ativamente explorada, sinais de exploração foram observados nos logs do broker. Organizações que utilizam ActiveMQ devem tratar essa vulnerabilidade como prioridade alta, dada a recorrência de ataques a essa tecnologia.

Um grupo de atacantes está explorando uma vulnerabilidade crítica no Apache ActiveMQ, identificada como CVE-2023-46604, que permite a execução remota de código em sistemas Linux na nuvem. Essa falha, que possui uma pontuação CVSS de 10.0, foi corrigida em outubro de 2023, mas já está sendo amplamente utilizada para implantar diversos tipos de malware, incluindo o DripDropper. Este downloader, que requer uma senha para execução, se comunica com uma conta do Dropbox controlada pelos atacantes, permitindo que eles mantenham o controle sobre os sistemas comprometidos. Os pesquisadores da Red Canary observaram que, após obter acesso inicial, os atacantes estão aplicando patches na vulnerabilidade explorada para evitar que outros adversários a utilizem, uma tática incomum que demonstra a sofisticação do ataque. Além disso, o DripDropper modifica arquivos de configuração do SSH para garantir acesso persistente. Essa situação ressalta a importância de aplicar patches de segurança de forma oportuna e monitorar atividades anômalas em ambientes de nuvem.