Claude помог исследователю обнаружить уязвимость в Apache ActiveMQ, скрывавшуюся десять лет (CVE-2026-34197)

В новом примере того, как ИИ-ассистенты помогают в поиске уязвимостей, исследователь Horizon3.ai Навин Сункавали использовал Claude для обнаружения CVE-2026-34197 — уязвимости удалённого выполнения кода в Apache ActiveMQ, которая находилась в кодовой базе 13 лет.

Проблема была устранена в конце марта 2026 года, и в настоящее время нет признаков её активного использования злоумышленниками.

Тем не менее, учитывая, что уязвимости ActiveMQ ранее использовались для атак с вымогательским ПО и вредоносами, организациям следует обновить свои установки и проверить наличие потенциальных индикаторов компрометации.

О CVE-2026-34197

CVE-2026-34197 — это уязвимость, связанная с недостаточной проверкой входных данных и внедрением кода в популярном брокере сообщений с открытым исходным кодом Apache ActiveMQ для асинхронного взаимодействия.

«ActiveMQ существует в двух вариантах: ActiveMQ Classic, оригинальный брокер, и ActiveMQ Artemis, более новая реализация. Данная уязвимость затрагивает только Classic», — отметил Сункавали.

«Оглядываясь назад, уязвимость кажется очевидной, но понятно, почему её пропустили все эти годы. Она затрагивала несколько компонентов, разработанных независимо с течением времени: Jolokia, JMX, сетевые коннекторы и VM-транспорты. Каждая функция по отдельности работает как положено, но вместе они оказались опасны. Именно здесь Claude проявил себя наилучшим образом — эффективно собрав воедино всю цепочку с ясным умом, свободным от предубеждений».

Сункавали также отметил, что хотя для эксплуатации уязвимости обычно требуются учётные данные, во многих средах широко используются стандартные комбинации логина и пароля (например, admin:admin).

«В некоторых версиях (6.0.0–6.1.1) учётные данные вообще не требуются из-за другой уязвимости, CVE-2024-32114, которая непреднамеренно открывает доступ к API Jolokia без аутентификации. В этих версиях CVE-2026-34197 фактически представляет собой RCE без необходимости авторизации», — пояснил он.

Меры по устранению и расследованию

CVE-2026-34197 была исправлена в версиях ActiveMQ 6.2.3 и 5.19.4. Организациям, использующим ActiveMQ, следует как можно скорее обновиться до одной из них, особенно теперь, когда технические детали стали общедоступными.

Сункавали также рекомендовал организациям проверить логи своих брокеров ActiveMQ на предмет возможных индикаторов компрометации:

  • Активность сетевого соединителя, использующего vm:// URI с параметром brokerConfig=xbean:http.
  • POST-запросы к /api/jolokia/, содержащие addNetworkConnector в теле запроса.
  • Исходящие HTTP-запросы от процесса брокера ActiveMQ на неожиданные хосты.
  • Неожиданные дочерние процессы, запущенные Java-процессом ActiveMQ.

Подпишитесь на нашу рассылку экстренных новостей, чтобы никогда не пропускать последние утечки данных, уязвимости и киберугрозы. Подписаться можно здесь!

Apache ActiveMQCVE-2026-34197Уязвимости ПОИИ в кибербезопасностиБрокеры сообщений