В открытых источниках и практиках аудита безопасности регулярно фиксируются инциденты, связанные с системами обмена сообщениями. Один из типовых сценариев — эксплуатация недостатков конфигурации Apache ActiveMQ Classic.
По данным аналитики, в ряде компаний наблюдаются случаи несанкционированного доступа к серверам через интерфейс управления. Последствия могут варьироваться от скрытого майнинга до утечек данных. Рассмотрим, какие факторы повышают риски и как их снизить.
Почему Apache ActiveMQ широко распространён и с чем связаны риски
Apache ActiveMQ Classic — это распространённое решение для обмена сообщениями между системами. Согласно экспертным оценкам, его можно встретить в банковском секторе, e-commerce, логистике и государственных организациях. Проблема в том, что многие инсталляции не обновляются длительное время. В ходе аудитов нередко обнаруживаются версии, выпущенные год и более назад, а также стандартные учётные данные для интерфейса управления.
Такая ситуация может рассматриваться как типовой риск для рынка. Компании сталкиваются с этим регулярно. Интерфейс управления (порт 8161) часто остаётся доступным без должной защиты, а администрирование ведётся по остаточному принципу. Это создаёт условия для потенциальных атак.
Что известно об уязвимости CVE-2026-34197
Согласно публичным сведениям, CVE-2026-34197 связана с компонентом Jolokia в Apache ActiveMQ. Этот компонент предоставляет веб-интерфейс для управления Java-функциями. В уязвимых версиях через специальную операцию addNetworkConnector возможно загрузить конфигурацию с удалённого сервера. В отдельных случаях это может привести к удалённому выполнению команд (RCE).
По данным из открытых источников, для успешной эксплуатации в ряде ситуаций требуется доступ к учётной записи. Однако в реальных конфигурациях нередко используются стандартные пароли (например, admin:admin). Кроме того, в версиях 6.0.0 – 6.1.1 сообщалось о другой уязвимости (CVE-2024-32114), которая может давать доступ к интерфейсу без авторизации. Комбинация таких факторов увеличивает риски.
Пример из практики (обобщённо): в ходе аудита одной из компаний была обнаружена версия ActiveMQ 6.0.3. Тестирование показало возможность получения консольного доступа к серверу. Этот случай демонстрирует, как недостатки конфигурации и устаревшее ПО могут быть использованы.
Как потенциально может происходить атака (общее описание)
В публичных источниках описывается следующая последовательность действий (без детализации эксплойтов):
- Злоумышленник находит доступный ActiveMQ — через интернет, фишинг, скомпрометированные VPN-учётные данные или с использованием известных проблем аутентификации.
- Через интерфейс Jolokia вызывается функция addNetworkConnector с параметром, указывающим на внешний HTTP-сервер.
- Сервер ActiveMQ загружает внешнюю конфигурацию.
- В конфигурации может быть указан URI, приводящий к выполнению команд.
- В результате возможно выполнение произвольного кода: майнер, бэкдор, выгрузка данных.
Сообщается, что готовые инструменты для таких атак находятся в открытом доступе. Это делает проблему актуальной для многих организаций.
Почему даже «обновлённые» системы иногда остаются уязвимыми
По наблюдениям, около 70% компаний не отслеживают бюллетени безопасности по всем используемым компонентам. Администраторы могут искренне полагать, что система обновлена, но на деле версия не содержит необходимых исправлений. Патч для CVE-2026-34197 присутствует в версиях 5.19.4 и 6.2.3. Более ранние версии не защищены.
Обновление middleware — это нетривиальная задача: могут нарушиться интеграции, требуется перетестирование. Однако утечка персональных данных влечёт риски штрафов по 152-ФЗ (до 15 млн рублей) и требований 187-ФЗ о КИИ.
Возможные последствия эксплуатации
Если уязвимость будет использована, злоумышленник может получить:
- Доступ к сообщениям ActiveMQ, которые часто содержат платёжные поручения, персональные данные, учётные записи.
- Возможность подмены сообщений (например, изменение сумм переводов).
- Запуск майнера или ботнета — серверы ActiveMQ обычно производительны.
- Латеральное перемещение по сети и потенциальный контроль над доменными службами.
По имеющимся оценкам, среднее время между эксплуатацией и полным захватом критических систем может составлять несколько часов. Стоимость простоя бизнеса в таких случаях высока.
Практические рекомендации по снижению рисков (на основе реальных проектов)
- Обновление до версий 5.19.4 или 6.2.3. В этих версиях устранён механизм, позволявший удалённо создавать соединения vm://.
- Замена стандартных учётных данных. Используйте сложные пароли, менеджеры паролей. Рекомендуется отключить стандартную учётную запись.
- Ограничение доступа к интерфейсу Jolokia по IP. Порт 8161/8162 не должен быть доступен из внешних сетей без крайней необходимости. При удалённом доступе — только через VPN с многофакторной аутентификацией.
- Аудит и мониторинг журналов. Следите за записями, содержащими addNetworkConnector и vm:// с внешними HTTP-адресами. Настройте централизованное логирование (Syslog, ELK, SIEM) с хранением не менее года.
- Внедрение EDR/XDR на хостах с ActiveMQ. Это помогает обнаружить запуск нехарактерных процессов после возможной эксплуатации.
- Регулярное сканирование уязвимостей (не реже раза в квартал) с верификацией. Пентест или аудит безопасности конкретной инсталляции даёт наиболее полную картину.
- Принцип наименьших привилегий. Учётная запись ActiveMQ не должна иметь прав на запись в системные каталоги, запуск оболочки или неограниченный доступ в сеть. Рекомендуется изоляция в контейнере или виртуальной машине.
- Блокировка исходящих соединений на незнакомые порты. Если ActiveMQ пытается соединиться с подозрительными IP — это индикатор.
- Контроль версий конфигурации. Документирование изменений помогает при расследовании инцидентов.
- Обучение персонала на конкретных кейсах. Демонстрация эксплуатации в тестовой среде повышает осознание рисков.
Как проверить, не произошёл ли уже инцидент
По данным из открытых источников, признаки возможной эксплуатации включают:
- Записи в логах типа addNetworkConnector с адресом vm:// и внешним URL.
- Неожиданные исходящие соединения на неизвестные IP (порты 4444, 8080, 1337 и др.).
- Посторонние процессы с высоким потреблением CPU (майнеры), reverse shells, скрипты из временных папок.
В большинстве случаев после взлома логи чистятся, поэтому централизованное логирование критически важно.
Другие известные уязвимости в ActiveMQ (по открытым данным)
- CVE-2024-32114 — проблема в версиях 6.0.0 – 6.1.1, позволяющая обойти аутентификацию. В сочетании с CVE-2026-34197 создаёт высокий риск RCE без авторизации.
- CVE-2023-46604 — RCE через OpenWire, включена в каталог активно используемых уязвимостей CISA.
- CVE-2016-3088 — загрузка произвольных файлов, встречается даже в относительно свежих инсталляциях.
Apache ActiveMQ Classic является привлекательной целью. Отсутствие обновлений и мониторинга повышает вероятность инцидента.
Часто задаваемые вопросы (на основе консультаций)
- Что такое CVE-2026-34197 простыми словами?
Это недостаток в веб-интерфейсе управления, который при определённых условиях позволяет удалённо выполнить команды на сервере. - Какие версии уязвимы?
Все версии ниже 5.19.4 и ниже 6.2.3. - Как узнать, не использовали ли эту уязвимость против меня?
Проверьте логи на наличие строк addNetworkConnector и vm:// с внешними HTTP-адресами. Анализируйте исходящие соединения и процессы. При неуверенности — закажите форензику. - Обязателен ли логин и пароль для атаки?
Согласно документации — да. Однако на практике часто используются стандартные пароли либо присутствует CVE-2024-32114, дающая доступ без авторизации. - Что делать, если немедленное обновление невозможно (риск сломать интеграции)?
Временно: закрыть порт 8161 на фаерволе, сменить пароль на сложный, отключить Jolokia, если он не нужен. Но это временная мера — обновление обязательно. - Последствия для бизнеса?
Утечка персональных данных (штрафы по 152-ФЗ до 15 млн руб.), остановка критических сервисов (187-ФЗ), репутационные потери, возможный выкуп при шифровании. - Можно ли обнаружить атаку с помощью DLP или EDR?
Современные EDR фиксируют запуск необычных процессов после эксплуатации, но сам эксплойт через веб-интерфейс может остаться незамеченным. Рекомендуется WAF или NTA. - Как часто проверять ActiveMQ на уязвимости?
Рекомендуется не реже раза в квартал, а после выхода критических патчей — в течение недели. Оптимально — непрерывный мониторинг. - Почему компании используют старые версии?
Основные причины: принцип «работает — не трогай», отсутствие профильного специалиста, страх сломать бизнес-процессы, экономия на аудите. - Где скачать безопасную версию?
С официального сайта Apache (версии 5.19.4 и 6.2.3). Обязательно проверяйте контрольные суммы.
Вместо заключения: когда стоит привлекать специалистов
Если вы дочитали до этого места, вы уже обратили внимание на важную проблему. Многие руководители не знают, какие компоненты работают в их инфраструктуре. Инциденты с утечками баз данных и их продажей на теневых форумах — не редкость.
Инвестиции в регулярный аудит безопасности, внедрение EDR/XDR и мониторинг угроз, как правило, окупаются при первом же предотвращённом инциденте. Профилактика обходится значительно дешевле, чем ликвидация последствий.
Мы рекомендуем провести аудит вашей инфраструктуры, если вы не уверены в её защищённости. Специалисты помогут проверить логи, настройки и дать дорожную карту по устранению рисков.
Если вам важно понять реальный уровень защищённости ваших систем обмена сообщениями, можно запросить консультацию. Мы пришлём чек-лист и рекомендации. Первые пять заказов каждый месяц получают расширенный аудит в подарок.
Не забывайте о требованиях 152-ФЗ и 187-ФЗ. Регулярная проверка и обновление middleware — это вклад в безопасность вашего бизнеса.
⚖️ Данный материал носит информационно-аналитический характер. Все выводы основаны на открытых источниках и не являются утверждением фактов, не подтверждённых официально. Материал не является юридической или технической рекомендацией. Любые решения принимаются читателем самостоятельно.
══════
Больше материалов: Центр знаний SecureDefence.
Оставьте заявку на бесплатную консультацию: [Перейти на сайт]