Investigadores de segurança revelaram a existência de uma vulnerabilidade de execução remota de código no Apache ActiveMQ Classic que passou completamente despercebida durante mais de uma década. A descoberta desta falha foi detalhada num relatório da Horizon3, que recorreu ao assistente virtual Claude para desvendar um caminho de exploração que escapou aos olhos humanos durante 13 anos.
O problema, identificado como CVE-2026-34197 e com uma pontuação de gravidade de 8.8, afeta as versões do Apache ActiveMQ e Broker anteriores à 5.19.4, bem como todas as versões da 6.0.0 até à 6.2.3. O investigador Naveen Sunkavally explicou que a identificação ocorreu através de alguns comandos simples dados à inteligência artificial, referindo que o processo foi largamente conduzido pela máquina, com apenas uma pequena ajuda humana na interpretação final dos dados.
Como os componentes se viraram contra o sistema
O Apache ActiveMQ é um mediador de mensagens de código aberto escrito em Java, bastante popular em ambientes empresariais e governamentais. Embora exista uma variante mais moderna, a edição Classic continua a ser amplamente utilizada pelas empresas. A complexidade do sistema ajuda a explicar o motivo pelo qual a vulnerabilidade permaneceu oculta durante tanto tempo. Em vez de um erro óbvio no código, a questão residia na forma como componentes independentes interagiam entre si.
A análise apontou que elementos como a interface de gestão Jolokia, as ligações de rede e os transportes de máquina virtual funcionam perfeitamente de forma isolada. No entanto, quando combinados, criam uma mistura perigosa. Através da interface Jolokia, um atacante pode forçar o sistema a carregar ficheiros de configuração externos em formato Spring XML, o que permite a execução de comandos arbitrários na máquina.
Os riscos para as empresas e como atuar
Apesar de a vulnerabilidade exigir autenticação numa fase inicial, um problema em separado nas versões 6.0.0 a 6.1.1, catalogado como CVE-2024-32114, remove esta barreira de segurança, o que deixa a porta totalmente aberta a potenciais invasores sem necessidade de credenciais. Os especialistas alertam que as organizações devem tratar a atualização das suas infraestruturas como uma prioridade máxima, especialmente porque o histórico do ActiveMQ mostra que este software é um alvo frequente em ataques reais por parte de piratas informáticos.
O problema foi reportado aos responsáveis do projeto a 22 de março, tendo a equipa de desenvolvimento lançado as correções a 30 de março para as versões 6.2.3 e 5.19.4. Embora não existam relatos confirmados de exploração ativa, os administradores de sistemas são aconselhados a rever os registos à procura de ligações suspeitas que envolvam o protocolo interno VM e parâmetros de configuração incomuns. Se surgirem avisos no sistema relacionados com problemas de configuração, é bastante provável que a infraestrutura já tenha sido comprometida.
Nenhum comentário
Seja o primeiro!