Apache ActiveMQ CVE-2026-34197 Added to CISA KEV Amid Active Exploitation

Exploitation active de la vulnérabilité CVE-2026-34197 dans Apache ActiveMQ

La CISA a intégré la vulnérabilité CVE-2026-34197 (score CVSS : 8.8) à son catalogue des vulnérabilités connues exploitées (KEV), suite à une activité malveillante constatée sur le terrain. Cette faille, présente depuis 13 ans, permet à un attaquant d’exécuter du code arbitraire sur les installations vulnérables via une mauvaise validation des entrées.

Points clés :

• Mécanisme d’attaque : L’attaquant utilise l’API Jolokia d’ActiveMQ pour forcer le courtier à récupérer un fichier de configuration distant et exécuter des commandes système.
• Facteur aggravant : L’usage de mots de passe par défaut (admin:admin) facilite l’accès. Dans les versions 6.0.0 à 6.1.1, la vulnérabilité CVE-2024-32114 expose l’API Jolokia sans aucune authentification, transformant cette faille en exécution de code à distance (RCE) non authentifiée.
• Contexte : Les tentatives d’exploitation ont connu un pic significatif autour du 14 avril 2026, démontrant une réactivité accrue des attaquants face aux nouvelles vulnérabilités.

Vulnérabilités :

• CVE-2026-34197 : Injection de code via l’API Jolokia (impacte les versions antérieures à 5.19.4 et 6.2.3).
• CVE-2024-32114 : Exposition non authentifiée de l’API Jolokia (présente dans les versions 6.0.0–6.1.1).

Recommandations :

• Mise à jour : Appliquer immédiatement les correctifs en passant aux versions 5.19.4 ou 6.2.3.
• Audit et sécurisation :
  • Identifier et restreindre l’accès aux terminaux Jolokia exposés.
  • Désactiver Jolokia s’il n’est pas strictement nécessaire.
  • Appliquer des politiques d’authentification fortes et ne jamais conserver les identifiants par défaut.

Source