A agência de cibersegurança norte-americana (CISA) emitiu um aviso urgente sobre uma vulnerabilidade de gravidade elevada no Apache ActiveMQ, que está a ser ativamente explorada por piratas informáticos. Segundo a análise detalhada da Horizon3 e os dados oficiais partilhados no boletim de segurança da CISA, a correção lançada no final do mês passado já está a ser contornada, exigindo uma ação imediata por parte dos administradores de sistemas.
O Apache ActiveMQ é amplamente conhecido como o mais popular intermediário de mensagens de código aberto baseado em Java, permitindo a comunicação assíncrona entre diferentes aplicações. A falha de segurança, identificada como CVE-2026-34197, passou completamente despercebida durante 13 anos. A sua revelação ocorreu graças ao investigador Naveen Sunkavally, da Horizon3, que utilizou o assistente de inteligência artificial Claude para examinar o código e detetar o problema estrutural.
Como funciona a exploração silenciosa
Sunkavally explicou que a raiz do problema reside numa validação de dados inadequada. Esta lacuna permite que atacantes com autenticação executem código arbitrário através de ataques de injeção. Os responsáveis pela manutenção do projeto lançaram a correção a 30 de março, que abrange as versões Classic 6.2.3 e 5.19.4. No entanto, os investigadores alertam que as organizações devem tratar este assunto com a máxima prioridade, dado que este software tem sido um alvo frequente e os métodos de exploração já estão bem documentados entre os cibercriminosos.
O serviço de monitorização de ameaças ShadowServer regista a presença de mais de 7.500 servidores expostos na internet, o que adensa a gravidade da situação. A CISA adicionou de imediato o problema ao seu catálogo de vulnerabilidades conhecidas e ativamente exploradas, ordenando que as agências federais civis apliquem as atualizações necessárias até ao dia 30 de abril, em estrita conformidade com as diretivas operacionais.
Medidas de contenção e histórico no radar
Para auxiliar as equipas de defesa, os especialistas da área indicam que os sinais de exploração podem ser detetados ao analisar os registos do sistema. A recomendação principal foca-se em procurar por ligações suspeitas que utilizem o parâmetro de pesquisa "brokerConfig=xbean:http://" e o protocolo de transporte interno VM. Este tipo de vulnerabilidade é um vetor de ataque recorrente que coloca em risco toda a infraestrutura federal.
Adicionalmente, a agência norte-americana aconselhou o setor privado a dar prioridade à correção da falha associada CVE-2026-35616, instando as organizações a protegerem as suas redes o mais rápido possível, mesmo não estando sob a alçada governamental. O historial do software revela que a CISA já tinha sinalizado outras vulnerabilidades criticamente exploradas, nomeadamente a CVE-2023-46604 e a CVE-2016-3088, sendo a primeira ativamente utilizada pelo grupo de ransomware TellYouThePass como uma perigosa falha de dia zero.
Nenhum comentário
Seja o primeiro!