CVE-2026-34197: опасна комбинация от компоненти води до компрометиране

Изследователи по сигурността разкриха сериозна уязвимост за отдалечено изпълнение на код (RCE) в Apache ActiveMQ Classic, която е останала незабелязана повече от 13 години. Проблемът, проследяван като CVE-2026-34197, позволява на атакуващите да изпълняват произволни системни команди.

Уязвимостта засяга:

• версии преди 5.19.4
• всички версии от 6.0.0 до 6.2.3

С оценка 8.8 по CVSS, тя се счита за високорискова и представлява сериозна заплаха за широко използвани корпоративни среди.

Откриване с помощта на ИИ: ролята на Claude

Интересен аспект в случая е, че уязвимостта е идентифицирана с помощта на Claude AI – асистент, който е анализирал взаимодействието между отделни компоненти.

Изследователят Навиин Сункавали от Horizon3.ai споделя, че:

• около 80% от откритието се дължи на ИИ
• останалите 20% са човешка валидация и оформяне

ИИ моделът е успял да свърже логически отделни функционалности, които поотделно изглеждат безопасни, но в комбинация създават критичен експлойт път.

Технически детайли: как работи атаката

Проблемът произтича от взаимодействието между няколко компонента:

• Jolokia (management API)
• JMX
• network connectors
• VM transport

Уязвимостта позволява злоупотреба с функцията addNetworkConnector, която може да зарежда външни конфигурации.

Атаката протича по следния начин:

1. Изпраща се специално изготвена заявка
2. Системата зарежда външен Spring XML файл
3. По време на инициализацията се изпълняват произволни команди

Критичен сценарий: неавтентикиран достъп

По принцип атаката изисква автентикация чрез Jolokia. Въпреки това, поради друга уязвимост – CVE-2024-32114 – в някои версии достъпът става неавтентикиран.

Засегнати са:

• версии от 6.0.0 до 6.1.1

Това значително увеличава риска, тъй като атакуващите могат да компрометират системи без никакви идентификационни данни.

Широко разпространение и реален риск

Apache ActiveMQ Classic се използва масово в:

• enterprise системи
• уеб бекенд инфраструктури
• държавни среди
• Java базирани приложения

Макар по-новата версия Artemis да предлага подобрения, Classic остава широко внедрена, което увеличава потенциалния обхват на атаката.

Исторически контекст: ActiveMQ като честа цел

Според Horizon3.ai ActiveMQ не за първи път е обект на атаки. Предходни уязвимости като:

• CVE-2016-3088
• CVE-2023-46604

вече са били активно експлоатирани и дори включени в списъка KEV на CISA.

Индикатори за компрометиране (IoC)

Въпреки че няма потвърдени активни атаки към момента, има ясни признаци, които администраторите трябва да следят:

• подозрителни broker връзки с VM transport
• заявки с параметър brokerConfig=xbean:http://
• множество connection опити
• warning съобщения за конфигурационни грешки (които се появяват след изпълнение на payload)

Реакция и корекции

Уязвимостта е докладвана на Apache на 22 март и е коригирана на 30 март в следните версии:

• 5.19.4
• 6.2.3

Организациите трябва да предприемат незабавни действия по обновяване.

 ИИ като нов инструмент за откриване на сложни уязвимости

Случаят с CVE-2026-34197 показва две ключови тенденции:

• сложните уязвимости често се крият в интеграцията между компоненти
• ИИ инструментите като Claude AI могат значително да ускорят откриването им

Това бележи нов етап в киберсигурността, в който ИИ играе роля не само в атаките, но и в защитата.