La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a alerté jeudi sur une vulnérabilité critique affectant Apache ActiveMQ. Ce problème de sécurité, qui a été patché début avril, est désormais exploité activement dans des attaques.
Apache ActiveMQ est le principal courtier de messages open source basé sur Java, utilisé pour la communication asynchrone entre applications.
Référencée comme CVE-2026-34197, cette faille de sécurité est restée inaperçue pendant 13 ans avant d’être découverte par le chercheur Naveen Sunkavally de Horizon3, avec l’aide de l’assistant Claude AI.
Sunkavally a précisé que cette vulnérabilité est due à une validation incorrecte des entrées, permettant à des acteurs malveillants authentifiés d’exécuter du code arbitraire via des attaques par injection. Les mainteneurs d’Apache ont corrigé cette vulnérabilité dans les versions 6.2.3 et 5.19.4 d’ActiveMQ Classic, le 30 mars.
Horizon3 a conseillé aux organisations utilisant ActiveMQ de traiter cette question comme une priorité élevée, en raison des précédentes cibles que cela a représentées pour des attaquants dans le monde réel. Les méthodes d’exploitation et de post-exploitation d’ActiveMQ sont bien connues.
Le service de surveillance des menaces ShadowServer suit actuellement plus de 7 500 serveurs Apache ActiveMQ exposés en ligne.
Jeudi, la CISA a ajouté CVE-2026-34197 à son catalogue des vulnérabilités connues exploitées et a ordonné aux agences du Federal Civilian Executive Branch (FCEB) de mettre à jour leurs serveurs ActiveMQ dans un délai de deux semaines, soit avant le 30 avril, conformément à la directive opérationnelle contraignante (BOD 22-01).
Les chercheurs de Horizon3 ont indiqué que des signes d’exploitation peuvent être détectés en analysant les journaux du courtier ActiveMQ et ont recommandé de rechercher des connexions suspectes utilisant le paramètre de requête brokerConfig=xbean:http:// et le protocole de transport interne VM.
La CISA a averti que ce type de vulnérabilité est une cible fréquente pour les acteurs malveillants et représente des risques importants pour les entreprises fédérales.
Les défendeurs du secteur privé ont également été encouragés à prioriser le patch pour CVE-2026-35616 et à sécuriser les réseaux de leurs organisations au plus vite, même si la BOD 22-01 ne s’applique qu’aux agences fédérales américaines.
Précédemment, la CISA avait identifié deux autres vulnérabilités dans Apache ActiveMQ comme étant exploitées sur le terrain, référencées par CVE-2023-46604 et CVE-2016-3088, la première étant ciblée par le groupe de ransomware TellYouThePass en tant que faille zero-day.