A comunidade de segurança acaba de descobrir uma falha crítica no Apache ActiveMQ Classic que levava sem ser detectada mais de uma década e que permite executar comandos remotos nos sistemas afetados. Trata-se de vulnerabilidade registrada como CVE-2026-34197, com uma pontuação de gravidade alta (8.8), que afeta versões do ActiveMQ Classic anteriores à 5.19.4 e a todas as edições entre 6.0.0 e 6.2.3 até que a correção foi aplicada.
ActiveMQ é um corredor de mensagens open source escrito em Java e muito usado em infra-estruturas empresariais, backends web e ambientes governamentais para lidar com a comunicação de forma ancrona através de filas e topics. Embora exista um ramo mais moderno chamado Artemis, a edição “Classic” segue amplamente implantada, e por isso esta vulnerabilidade tem um alcance importante em ambientes reais.
O que chama a atenção para este achado não é apenas a longevidade da falha, mas a ferramenta que ajudou a identificar a rota de exploração: o assistente de IA Claude. O pesquisador da Horizon3, Naveen Sunkavally, explica que, através de algumas indicações à IA, conseguiu obter uma cadeia de ataque que conecta várias funcionalidades do produto. Segundo descreve, a maior parte do trabalho foi produzido pela IA e depois foi refinado pela pessoa pesquisadora, o que ilustra como os modelos podem detectar interações entre componentes que as análises tradicionais passam por alto.
O vetor técnico aproveita a API de gestão Jolokia no ActiveMQ. Essa API expõe uma operação do corretor (addNetworkConnector) que, combinada com certas opções de carga remota de configuração, permite forçar o corretor a baixar um arquivo XML da Spring a partir de uma localização controlada pelo atacante. Durante a inicialização dessa configuração externa pode executar o código do sistema, o que conduz à execução remota de comandos. A Horizon3 descreve este fluxo e os riscos associados no seu relatório técnico, que inclui mais detalhes sobre a mecânica do erro e recomendações iniciais: Relatório Horizon3.
Há também um agravante: embora a exploração exija em princípio autenticação via Jolokia, em certas versões (concretamente ActiveMQ 6.0.0 até 6.1.1) essa barreira de acesso foi aberta por outro erro separado, CVE-2024-32114, que permitiu expor a API sem controle, deixando implicitamente a porta aberta a um RCE não autenticado. Isso explica em parte por que o problema pôde passar despercebido tanto tempo: as peças envolvidas se comportavam de forma esperada por separado, mas combinadas permitiam uma cadeia explorável.
Os mantenedores do Apache foram notificados no final de março e publicaram uma correção rapidamente; as versões corrigidas são a 5.19.4 e a 6.2.3. A nota oficial de segurança e o anúncio da correção estão disponíveis no site do Apache ActiveMQ: anúncio do Apache sobre CVE-2026-34197. Como sempre nestes casos, atualizar as versões alteradas deve ser a prioridade número um para qualquer equipe que use ActiveMQ Classic.
Além de atualizar, os pesquisadores recomendam revisar os registros do corretor em busca de indicadores específicos: conexões do tipo interno VM que incluam parâmetros de configuração remota com corretoConfig=xbean:http:// e qualquer tentativa repetida de conexão que seja acompanhada de avisos sobre problemas de configuração. Essas mensagens podem indicar que o corretor já tentou carregar a configuração maliciosa e que a execução de comandos pôde ter sido produzida.
O histórico do ActiveMQ em incidentes reais faz com que este aviso seja especialmente relevante. Explorações prévias sobre o mesmo produto foram aproveitadas em ataques no mundo real — e algumas dessas vulnerabilidades aparecem em catálogos públicos de risco —, portanto, os responsáveis por infra-estruturas devem tratar este adesivo como urgente. Para contexto adicional sobre vulnerabilidades antigas e sua exploração em campo, a lista de CISA sobre vulnerabilidades exploradas é um recurso útil: CISA KEV.
Para além do adesivo imediato, este caso deixa uma lição sobre segurança em software: análises automáticas e revisões tradicionais podem perder rotas de ataque que emergem da interação entre módulos desenvolvidos de forma independente. O uso de ferramentas de IA para apoiar a descoberta de vulnerabilidades está demonstrando ser valioso, mas também enfatiza a necessidade de integrar essa capacidade dentro de processos de auditoria, testes de segurança e controle de acessos, não como substituto único de revisões humanas.
Se você gerencia instâncias do ActiveMQ Classic, atualiza o quanto antes, restringe o acesso à API de gestão Jolokia através de controles de rede e autenticação forte, e examina seus logs por padrões anormais relacionados com conexões VM e parâmetros de carga de configuração remota. Para detalhes técnicos e mitigações, o relatório da Horizon3 e o aviso do Apache são as referências-chave: Horizon3 e Apache ActiveMQ.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...