A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos ( CISA) alertou esta semana sobre uma vulnerabilidade de alta gravidade em Apache ActiveMQ que, embora tenha sido corrigida no final de março, já está sendo aproveitada por atacantes no mundo real. Trata-se da falha monitorizada como CVE-2026-34197, uma fraqueza que permaneceu oculta por mais de uma década e que foi revelada pelo pesquisador Naveen Sunkavally da equipe de Horizon3 numa publicação técnica que reconhece ter utilizado o assistente de IA Claude como ajuda no processo de investigação.
ActiveMQ é um dos corretores de mensagens Java mais utilizados para a comunicação da assimncrona entre aplicações e sistemas em ambientes empresariais. A falha identificada permite, através de uma validação insuficiente de entradas, que um atacante autenticado injete e execute código arbitrário em instâncias afetadas, particularmente através do componente Jolokia que expõe capacidades de administração via HTTP. O Apache publicou correcções em 30 de março para os ramos Classic, especificamente nas versões 6.2.3 e 5.19.4; o seu relatório técnico está disponível no aviso oficial de segurança do Apache ActiveMQ aqui.
A urgência do problema intensificou-se quando CISA incorporou CVE-2026-34197 ao Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) e fixou um prazo de duas semanas para que as agências civis federais norte-americanas apliquem os adesivos, seguindo as diretrizes da Binding Operational Directive (BOD) 22-01. Embora essa obrigação seja estrita para o setor público federal, CISA e os pesquisadores recomendam que as organizações privadas tratem a correção como prioridade.
Os rastreadores de segurança já mostram um panorama preocupante na superfície da Internet. O serviço de monitoramento ShadowServer está seguindo mais de 7.500 servidores ActiveMQ expostos, o que oferece aos atacantes uma ampla diana se os administradores não aplicarem mitigações. Horizon3, além de documentar a técnica de exploração e o uso da assistência de IA no achado, indica que os equipamentos forenses podem buscar nos registros do corretor conexões suspeitas que utilizem o parâmetro corretoConfig=xbean:http:// e o transporte interno VM como indicadores de comprometimento.
ActiveMQ não é novo no radar dos atacantes. CISA já tinha marcado anteriormente outras vulnerabilidades de ActiveMQ como exploradas em ambientes reais, entre elas CVE-2023-46604 e CVE-2016-3088, a primeira delas vinculada a campanhas de ransomware que aproveitaram falhas em servidores desprotegidos. Essa recorrência sublinha por que os administradores devem abordar rapidamente este novo defeito.
Para equipes de segurança e responsáveis por infraestrutura, a primeira e mais clara recomendação é atualizar as versões corrigidas publicadas pelo Apache. Se uma atualização imediata não for possível por compatibilidade ou processos internos, os fabricantes e os pesquisadores oferecem atenuações temporárias: reduzir a superfície de exposição do porto de administração, desactivar ou restringir Jolokia se não for imprescindível, aplicar regras de firewall para limitar o acesso à interface de administração apenas a redes de gestão confiáveis, monitorar ativamente os logs do corretor em busca dos indicadores mencionados e revisar contas e credenciais com privilégios nos sistemas afetados. CISA salienta que, desnecessariamente, não é possível reduzir a sua eficácia, deve considerar-se interromper a utilização do produto em causa até aplicar uma solução segura.
Para além destas medidas pontuais, este incidente volta a evidenciar dois problemas estruturais do ecossistema: por um lado, a persistência de vulnerabilidades antigas que podem permanecer sem ser detectadas durante anos; por outro, a crescente interação entre pesquisadores e ferramentas de inteligência artificial na busca de falhas, o que acelera tanto a detecção responsável como, potencialmente, a capacidade de atores maliciosos para desenvolver exploits se a informação se filtra. A nota pública da Horizon3 sobre a investigação detalha o processo técnico e os traços que convém rever e consultar na sua divulgação aqui.
Se você administra serviços que dependem do ActiveMQ, deve agir imediatamente: aplicar os adesivos oficiais, auditar a exposição dos corretores na Internet e estabelecer controlos de detecção sobre as ligações administrativas. Para os responsáveis pelo risco, é um lembrete de que os elementos da infraestrutura de mensagens, muitas vezes invisíveis para o negócio diário, podem se tornar vetores de entrada críticos para campanhas de maior impacto.
Para ampliar informações e seguir a evolução, é útil rever o seguimento da CISA sobre vulnerabilidades exploradas no seu catálogo KEV, o aviso específico de adição da vulnerabilidade publicado pela agência e detalhes técnicos e recomendações do Apache no seu comunicado de segurança aqui. Manter os sistemas atualizados e controlar quem e como acede aos consoles de administração é, como quase sempre, a melhor defesa.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...