Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Claude молодец, а люди проглядели. Нейросеть нашла в коде Apache подарок для хакеров с десятилетней выдержкой

leer en español

Apache ActiveMQ Claude Jolokia уязвимость исправление
Claude молодец, а люди проглядели. Нейросеть нашла в коде Apache подарок для хакеров с десятилетней выдержкой
Apache ActiveMQ Claude Jolokia уязвимость исправление

Новая ошибка в коде позволяет удаленно запускать команды на серверах без ввода пароля.

image

В популярном сервере обмена сообщениями нашли уязвимость, которая спокойно жила в коде больше десяти лет и позволяла запускать команды на сервере. Причём в ряде случаев злоумышленнику даже не требовался пароль.

Речь идёт о проблеме с кодом CVE-2026-34197 в Apache ActiveMQ Classic. Уязвимость позволяет удалённо выполнить произвольные команды через интерфейс управления. Злоумышленник может заставить сервер загрузить внешний файл конфигурации и выполнить встроенные в него команды операционной системы.

Атака строится вокруг интерфейса Jolokia, который превращает внутренние функции управления Java в обычный веб-интерфейс. Через него можно вызвать специальную операцию addNetworkConnector. В нормальной работе функция связывает несколько серверов между собой, но в уязвимом варианте принимает поддельный адрес и загружает конфигурацию с удалённого сервера злоумышленника.

Дальше срабатывает цепочка: сервер получает ссылку на XML-файл, обрабатывает его через механизм Spring и выполняет команды, прописанные внутри. Например, такой файл может напрямую вызвать системную команду через Runtime.exec().

Формально для атаки нужен доступ к учётной записи. На практике ситуация хуже. Во многих установках до сих пор используют стандартные логин и пароль admin:admin. Более того, в версиях 6.0.0–6.1.1 присутствует другая уязвимость, CVE-2024-32114, которая открывает доступ к интерфейсу без какой-либо проверки. В таких системах CVE-2026-34197 превращается в полностью удалённое выполнение кода без авторизации.

Apache ActiveMQ широко применяют в корпоративной среде. Система отвечает за очереди сообщений и связывает между собой разные сервисы. Решение используют банки, медицинские системы, государственные структуры и интернет-магазины, поэтому потенциальный масштаб атак большой.

Проблема затрагивает только классическую версию брокера. Новая реализация Artemis уязвимости не подвержена. Интересно, что проблему помог обнаружить инструмент на базе искусственного интеллекта – Claude. По словам автора находки, система разобрала код и за десять минут собрала рабочую цепочку атаки.

Разработчики уже выпустили исправление. Уязвимость закрыта в версиях 5.19.4 и 6.2.3. В патче убрали возможность создавать соединения через vm:// из удалённых запросов – именно этот механизм и позволял провернуть атаку.

Следы взлома можно заметить в журналах сервера. Подозрение должны вызвать попытки создать соединения с адресами вида vm:// с параметром brokerConfig, указывающим на внешний HTTP-ресурс. Также стоит обращать внимание на исходящие запросы сервера к неизвестным адресам и запуск посторонних процессов.

ActiveMQ уже не раз становился целью атак. Уязвимости CVE-2016-3088 и CVE-2023-46604, которые тоже позволяли выполнять код, ранее добавили в каталог активно используемых уязвимостей Агентства по кибербезопасности и защите инфраструктуры США.