Une analyse réalisée par l’organisation de sécurité Shadowserver a révélé que plus de 6 400 serveurs Apache ActiveMQ accessibles sur Internet présentent une vulnérabilité critique liée à une injection de code. Cette faille, identifiée sous le nom de CVE-2026-34197, a été mise au jour par le chercheur Naveen Sunkavally de Horizon3, grâce à l’assistance de l’IA Claude, après avoir échappé à toute détection pendant treize ans.
Ce problème de sécurité provient d’une validation des entrées incorrecte, permettant à des acteurs malveillants authentifiés d’exécuter du code arbitraire sur des systèmes non corrigés. Les développeurs d’Apache ont mis en place un correctif le 30 mars pour les versions 6.2.3 et 5.19.4 d’ActiveMQ Classic.
Selon les avertissements de ShadowServer publiés lundi, les serveurs vulnérables sont principalement situés en Asie (2 925), en Amérique du Nord (1 409) et en Europe (1 334).
De plus, la Cybersecurity and Infrastructure Security Agency des États-Unis a également alerté jeudi sur l’exploitation active de cette vulnérabilité. Elle a ordonné aux agences du Federal Civilian Executive Branch (FCEB) de sécuriser leurs serveurs avant le 30 avril.
« Une telle vulnérabilité est une voie d’attaque fréquente pour les acteurs malveillants, posant des risques considérables pour l’ensemble des agences fédérales », a déclaré l’agence de cybersécurité. « Appliquez les mitigations selon les instructions du fournisseur, suivez les consignes applicables de BOD 22-01 pour les services cloud, ou cessez d’utiliser le produit si aucune mitigation n’est disponible. »
Les chercheurs de Horizon3 ont conseillé aux administrateurs de vérifier les journaux du courtier ActiveMQ à la recherche de signes d’exploitation, notamment en identifiant les connexions suspectes utilisant le protocole de transport interne VM et le paramètre de requête brokerConfig=xbean:http://.
« Nous recommandons aux organisations utilisant ActiveMQ de traiter cette situation comme une priorité élevée, car ActiveMQ a été une cible répétée pour des attaquants, et les méthodes d’exploitation ainsi que celles de post-exploitation sont bien connues », ont mis en garde Horizon3.
Enfin, la CISA a également signalé deux autres vulnérabilités d’Apache ActiveMQ ayant été exploitées récemment, identifiées comme CVE-2016-3088 et CVE-2023-46604. Cette dernière a notamment été ciblée par le groupe de ransomware TellYouThePass comme une vulnérabilité de type zero-day.