La firma de ciberseguridad Horizon3.ai ha revelado recientemente la existencia de una vulnerabilidad de ejecución remota de código (RCE) en el middleware de mensajería de código abierto Apache ActiveMQ Classic, identificada como CVE-2026-34197. Este fallo ha permanecido latente en el software durante 13 años, afectando a una amplia gama de instituciones financieras, sanitarias y gubernamentales.
El núcleo del problema reside en la API de Jolokia, integrada en ActiveMQ. Jolokia actúa como un puente entre HTTP y JMX con el fin de proporcionar capacidades de gestión remota. El investigador Naveen Sunkavally señala que los atacantes pueden invocar la operación "addNetworkConnector" de la API de Jolokia para forzar al servidor proxy a obtener y ejecutar archivos de configuración Spring XML externos, logrando así la ejecución remota de código.
Origen de la vulnerabilidad y métodos de explotación
La configuración de ActiveMQ permite establecer conexiones entre brokers mediante URI. El punto crítico de la vulnerabilidad se encuentra en el protocolo de transporte "vm://", diseñado originalmente para incrustar un broker dentro de una única JVM. Al construir una URI específica y pasarla como parámetro, ActiveMQ intenta instanciar un broker inexistente y cargar un archivo de configuración desde una URL remota controlada por el atacante.
El análisis de Horizon3.ai demuestra que, aunque las actualizaciones de seguridad previas restringieron el acceso de Jolokia a MBeans peligrosos, la configuración de permisos de los propios MBeans de ActiveMQ sigue siendo demasiado permisiva, lo que permite a los atacantes explotar este mecanismo. En ciertas versiones (de la 6.0.0 a la 6.1.1), la ausencia de autenticación causada por la vulnerabilidad CVE-2024-32114 permite que los atacantes ejecuten el ataque sin necesidad de credenciales.
La barrera de entrada para explotar esta vulnerabilidad es baja. Si el sistema mantiene su configuración predeterminada, un atacante puede tomar el control del servidor mediante una simple solicitud HTTP POST. En entornos donde se han configurado credenciales, si el administrador no ha modificado las credenciales por defecto "admin:admin", el atacante también puede obtener acceso con facilidad.
Apache ActiveMQ, al ser un middleware fundamental en sistemas distribuidos, ha sido blanco frecuente de ataques. Vulnerabilidades históricas como CVE-2016-3088 y CVE-2023-46604 fueron incluidas en el catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. (CISA).
Actualmente, la Apache Software Foundation ya ha publicado los parches correspondientes. La recomendación oficial es que las organizaciones actualicen ActiveMQ a las versiones 6.2.3 o 5.19.4 a la mayor brevedad posible. Dada la gravedad de esta vulnerabilidad y la existencia de métodos de ataque activos, Horizon3.ai subraya que las empresas deben priorizar esta actualización como una tarea crítica de seguridad.