Uma vulnerabilidade grave no Apache ActiveMQ está deixando milhares de servidores descobertos e já existem evidências de ataques em marcha. Pesquisadores da organização sem fins lucrativos Shadowserver Foram detectados mais de 6.400 endereços IP Com pegadas de ActiveMQ acessíveis da Internet que ainda são vulneráveis a uma falha de injeção de código de alta gravidade.
ActiveMQ é um dos corretores de mensagens de código aberto mais estendidos em ambientes Java para comunicações assimncronas entre aplicações. A sua popularidade torna qualquer falha grave em um objetivo atrativo para atacantes que procuram executar código remoto ou mover-se lateralmente dentro de redes comprometidas; por isso, o aparecimento desta falha provocou alarme imediato entre equipes de segurança e administradores.
A fraqueza, registrada como CVE-2026-34197, foi identificada pelo pesquisador Naveen Sunkavally de Horizon3, que documentou como passou desapercibida durante mais de uma década e que em seu trabalho aproveitou assistentes de IA para acelerar a pesquisa; a raiz técnica é uma validação insuficiente de entradas que permite a atores autenticados forçar a execução de comandos arbitrários em instâncias não adesivos. A notificação oficial do projeto ActiveMQ foi publicada em 30 de março e contém as versões corrigidas: ActiveMQ Classic 6.2.3 e 5.19.4( anúncio do Apache).
Os dados de Shadowserver mostram também uma distribuição geográfica preocupante: quase metade das instâncias detectadas estão na Ásia, com importantes concentrações também na América do Norte e na Europa. Essa visibilidade pública facilita o trabalho de atacantes que digitalizam a rede em busca de instalações vulneráveis e, segundo a própria agência americana, já foram observadas explorações em ambientes reais.
Diante da evidência de uso ativo do falha, a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. EUA (CISA) emitiu um aviso e estabeleceu um prazo para que as agências federais assegurem seus servidores. CISA recorda que este tipo de defeitos é frequentemente terreno fértil para atores maliciosos e recomenda a aplicação das mitigações do fornecedor, a seguir as diretrizes aplicáveis para serviços em nuvem (BOD 22-01) ou a cessação do produto se não houver protecções disponíveis.
Os responsáveis pelos sistemas não devem esperar: o mais eficaz é aplicar os adesivos oficiais às versões corrigidas. Se uma atualização imediata não for viável, há atenuações temporárias e controles de perímetro que podem reduzir a exposição, mas não são substitutos da correção. Os próprios pesquisadores da Horizon3 aconselham inspecionar os registros do corretor procurando conexões suspeitas que utilizem o transporte interno VM e cadeias com o parâmetro CorredorConfig=xbean:http://, indícios que poderiam apontar tentativas de exploração ou de carga de configurações maliciosas ( divulgação Horizon3).
Este incidente não surge em vazio: ActiveMQ já figurou antes em advertências de exploração real. CISA incluiu vulnerabilidades prévias do projeto em seu catálogo de falhas exploradas, como CVE-2016-3088 e CVE-2023-46604, esta última relacionada com campanhas de ransomware que aproveitaram um 0-day. Esse histórico confirma que os padrões de exploração e as ferramentas para comprometer os corretores estão bem documentados e disponíveis para atacantes.
Para equipamentos técnicos e responsáveis pelo produto, a lista de tarefas é clara: identificar todas as instâncias do ActiveMQ expostas, priorizar a atualização às versões publicadas pelo Apache, revisar logs e telemetria em busca de sinais de acesso não autorizado e avaliar controles de rede que limitem o acesso ao serviço da Internet. Se você gerencia serviços em nuvem, verifique também configurações e aplique guias de segurança específicas para esse ambiente, como recomenda CISA.
A combinação de uma vulnerabilidade antiga, a facilidade para sua exploração e a quantidade de servidores detectados fazem de CVE-2026-34197 uma ameaça que requer atenção imediata. Para ler fontes oficiais e ampliar informações técnicas, consulte a ficha no NVD ( CVE-2026-34197), a divulgação técnica da Horizon3 ( análise do pesquisador), o anúncio do Apache ( aviso de segurança) e seguimento de exposições de Shadowserver ( painel de Shadowserver).
Se você é administrador, não o deixe para depois: atualiza, revisa logs e limita o acesso público. Se você é responsável por riscos, pressione para que o adesivo seja aplicado com prioridade. Em segurança, a diferença entre detectar e remediar a tempo pode ser a diferença entre um incidente menor e uma crise maior.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...