Uma vulnerabilidade de alta gravidade no Apache ActiveMQ Classic que acabou de ser revelada já está sendo explorada em ambientes reais, e as autoridades americanas reagiram rápido. A Agência de Segurança de Infra-estruturas e Cibersegurança (CISA) incluiu a falha, identificada como CVE-2026-34197 (CVSS 8.8), em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), impondo às agências federais a obrigação de corrigi-la antes do 30 de Abril de 2026. Você pode consultar a entrada oficial no catálogo da CISA aqui: https://www.cisa.gov/known-exploited-vulnerabilities-catalog/cve-2026-34197.
Em termos técnicos, o problema é uma falha na validação de itens que permite a injeção de código. Um atacante pode aproveitar operações de gestão expostas através da API Jolokia do ActiveMQ para instruir o corretor a carregar uma configuração remota e executar comandos no sistema operacional. Embora a exploração normalmente exija credenciais, em muitos desdobramentos continuam a ser usadas credenciais por defeito - como admin:admin - e, em determinados lançamentos do ramo 6.0.0-6.1.1, outra vulnerabilidade prévia (CVE-2024-32114) deixava a API Jolokia acessível sem autenticação, convertendo a falha em uma execução remota de código sem necessidade de credenciais.
A Biblioteca Nacional de Vulnerabilidades mantém um registro da falha que pode ser consultada no site do NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-34197, e a referência oficial do identificador está no MITRE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-34197. O Apache recomenda a actualização das versões alteradas: 5.19.4 ou 6.2.3, e a página do projeto contém informações sobre downloads e avisos de segurança: https://activemq.apache.org/.
Pesquisadores da Horizon3.ai salientaram que este vetor permaneceu inadvertido durante anos; segundo Naveen Sunkavally, a combinação de operações de gestão acessíveis via Jolokia e práticas de configuração fracas tem sido aproveitado há muito tempo. A própria assinatura publica análise e posts de blog sobre técnicas e achados relacionados ao ActiveMQ em seu site: https://www.horizon3.ai/blog/.
A detecção de exploração no terreno não se limita a este aviso. Relatórios recentes, incluindo os da empresa SAFE Security, mostram que atores maliciosos estão digitalizando e atacando ativamente endpoints de administração Jolokia expostos em instalações de ActiveMQ Classic. Esse padrão reflete uma realidade inquietante: as janelas entre divulgação pública e abuso por parte de atacantes continuam a se estreando, e as equipes de segurança muitas vezes não atingem adesivos antes de sofrer incidentes. A SAFE Security sublinhou como as interfaces de gestão abertas representam um risco elevado para a integridade das canalizações de dados e a disponibilidade de serviços.
O Apache ActiveMQ, por seu papel na mensagem empresarial e na pipelines de dados, é um objetivo habitual há anos. Campanhas anteriores aproveitaram falhas no corretor para deixar malware em sistemas Linux e para facilitar movimento lateral e exfiltração. Um exemplo relevante é a exploração de CVE-2023-46604, que foi utilizada para implantar um malware conhecido como DripDropper. Tudo isso evidencia que os ataques contra corretoras de mensagens não são teóricos: têm impacto real e recorrente em operações de produção.
Diante desta situação, as medidas de mitigação são claras e devem ser aplicadas com urgência. O mais urgente é atualizar as versões disponíveis que corrigem o erro, mas isso deve ser acompanhado de auditorias para detectar endpoints Jolokia expostos a redes não confiáveis, a restrição do acesso a interfaces de gestão através de listas de controle de acesso e VPNs, a eliminação ou desactivação de Jolokia quando não for estritamente necessária e a imposição de credenciais robustas e únicas onde se usa. Em ambientes onde a atualização imediata não seja possível, convém segmentar e isolar os corretores do acesso público e monitorar com prioridade qualquer atividade anómala nos portos e rotas associados.
Para equipes de responsáveis e administradores, as fontes oficiais e as análises independentes oferecem recursos complementares para a resposta: o anúncio de CISA com a inclusão no KEV (em cima), a ficha de NVD e as notas do próprio Apache. Além disso, os relatórios técnicos de empresas de segurança que observaram digitalização e ataques contra Jolokia podem ajudar a entender táticas e padrões de compromisso e a ajustar alertas e empresas.
A lição para as organizações é dupla: por um lado, manter ativos os processos de gestão de vulnerabilidades e aplicar adesivos críticos sem demora; por outro, reduzir a superfície de ataque limitando a exposição de painéis de administração e APIs internas. Actualizar, auditar e segregar redes são medidas simples em conceito, mas decisivas na prática para evitar que uma vulnerabilidade que há anos "oculta" se torne uma intrusão daninha.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...