ثغرة خطيرة فـ Apache ActiveMQ (CVE-2026-34197) تزيدات لـ Catalog ديال CISA KEV
Apache ActiveMQ CVE-2026-34197 Added to CISA KEV Amid Active Exploitation
ثغرة خطيرة فـ Apache ActiveMQ (CVE-2026-34197) تزيدات لـ Catalog ديال CISA KEV
المختصر (TL;DR)
وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) زادت واحد لغيّب (Vulnerability) خطير فـ Apache ActiveMQ Classic (CVE-2026-34197) لـ Catalog ديال الثغرات المستغلة المعروفة (KEV). هاد الثغرة كتعطي إمكانية تشغيل الكود عن بُعد (RCE) عن طريق Jolokia API، وتقال بلّي كانت "مخبيّة وباينة" كتر من 10 سنين. المؤسسات مطالبة تديّر التحديث (Patch) فـ أسرع وقت.
نظرة عامة على CVE-2026-34197
كاين واحد لغيّب أمني خطير فـ Apache ActiveMQ Classic، معروف بـ CVE-2026-34197، خدامين كيستغلوه دابا فـ الساحة. هاد الثغرة واخدة سكور ديال 8.8 فـ CVSS، وهي عبارة على مشكل فـ التأكد من لبيانات (input validation) كيدي لـ حقن الكود (code injection).
على حساب ما قال Naveen Sunkavally من Horizon3.ai، هاد الثغرة كاينة هادي تقريبا 13 عام. هاد لغيّب كيخلي لمهاجم يستعمل Jolokia API ديال ActiveMQ باش يخدم عمليات إدارية كتقلب الـ Broker باش يجيب ملف إعدادات (configuration file) من شي بلاصة بعيدة. هاد السلسلة ديال لعمليات فـ اللخر كتسمح بـ تنفيذ أوامر OS عشوائية فـ السيستيم اللي فيه لمشكل.
طرق الاختراق والولوج (Authentication)
العائق اللي كيواجه لمهاجم كيتبدل على حساب النسخة ديال ActiveMQ اللي خدامة:
- الدخول بـ حساب (Credentialed Access): فـ بزاف ديال لبلايص، هاد لغيّب كيخصو معلومات الدخول. ولكن، الاستعمال ديال معلومات الدخول الافتراضية (مثلا
admin:admin) باقي كيتعتبر ثغرة أمنية شائعة كيسهل على لمهاجمين يستغلوها. - تشغيل الكود بلا حساب (Unauthenticated RCE): بالنسبة لنسخ من 6.0.0 حتى لـ 6.1.1، هاد الثغرة كتولي RCE بلا ما يحتاج لمهاجم لـ حساب. هادشي بسباب ثغرة تانية، CVE-2024-32114، اللي خلات Jolokia API يبان بلا ما يطلب حتى شي تأكد من لهوية.
شركة SAFE Security قالت بلّي كاينين هكرز كيستهدفو هاد Jolokia management endpoints اللي باينين دابا.
النسخ اللي فيهم لمشكل
هاد لغيّب كيأثر على هاد النسخ ديال Apache ActiveMQ:
- Apache ActiveMQ Broker (org.apache.activemq:activemq-broker): النسخ اللي قبل من 5.19.4 والنسخ من 6.0.0 حتى لقبل من 6.2.3.
- Apache ActiveMQ (org.apache.activemq:activemq-all): النسخ اللي قبل من 5.19.4 والنسخ من 6.0.0 حتى لقبل من 6.2.3.
قرارات CISA وتوصياتها
بسباب الاستغلال النشيط لهاد الثغرة، CISA زادت CVE-2026-34197 لـ KEV catalog ديالها. لوكالات الفيدرالية المدنية (FCEB) مزموم عليها تديّر الإصلاحات الضرورية قبل 30 أبريل 2026.
الإجراءات اللي خص تدار:
- التحديث (Upgrade): لمستخدمين خصهم يدوزوا دغيا للنسخة 5.19.4 أو 6.2.3 باش يتفاداو هاد الخطر.
- مراجعة الـ Endpoints: لمؤسسات خصها تقلب كاع لبلايص اللي منزلة فيهم البرنامج وتشوف واش Jolokia endpoints باينين لـ برا.
- تحديد الدخول: إلا كان Jolokia ضروري، خص يتحصر الدخول غير للشبكات الموثوقة ويطبق نظام دخول (authentication) قوي.
- توقيف لخدمات للي ما محتاجينهاش: وقف Jolokia API بمرة فـ لبلايص اللي ما محتاجينوش فيها فـ لخدمة.
السياق: هدف كيتعاود كتير
Apache ActiveMQ هدف معروف عند لهكرز بسباب لغرض لمهم ديالو فـ تسيير لرسائل (messaging) ولبيناتا (data pipelines) فـ الشركات. فـ غشت 2025، ثغرة خرى (CVE-2023-46604) تخدمات باش تنشر المالفار (Malware) ديال Linux سميتو "DripDropper".
الاستغلال السريع لـ CVE-2026-34197 كيبين واحد التوجه اللي غادي وكيجهاد، فين لوقت اللي كيدوز بين اكتشاف الثغرة والاستغلال ديالها كيصغر بزاف، وهادشي كيخلي الشركات فـ سباق مع لوقت باش يحميو لأنظمة ديالهم.
وخا CISA أكدات بلّي كاين استغلال فعلي، ولكن مازال ما تعطاو تفاصيل على شكون هاد لهكرز أو الطرق بالضبط اللي كيستعملو فـ هجماتهم دابا.
المصدر: https://thehackernews.com/2026/04/apache-activemq-cve-2026-34197-added-to.html