-
09/04/2020
-
128
-
1.828 bài viết
Hơn 6.000 máy chủ Apache ActiveMQ đối mặt nguy cơ tấn công thực thi mã từ xa
Một lỗ hổng nghiêm trọng trong Apache ActiveMQ đang khiến hơn 6.000 máy chủ công khai trên Internet rơi vào tầm ngắm của tin tặc. Lỗ hổng này được gán mã CVE-2026-34197 và đã ghi nhận bị khai thác trong thực tế, làm gia tăng nguy cơ tấn công trên diện rộng vào các hệ thống chưa cập nhật bản vá
Thông tin từ Shadowserver Foundation cho thấy hơn 6.400 máy chủ ActiveMQ lộ diện trên Internet có thể bị tấn công, với phần lớn tập trung tại châu Á, Bắc Mỹ và châu Âu. Việc các hệ thống này mở trực tiếp ra Internet khiến quá trình dò quét và khai thác trở nên dễ dàng hơn.
Nhiều máy chủ Apache ActiveMQ chưa vá lỗi vẫn công khai trên Internet (nguồn: Shadowserver)
Apache ActiveMQ là bộ điều phối tin nhắn mã nguồn mở phổ biến, đóng vai trò trung gian truyền dữ liệu giữa các ứng dụng, đặc biệt trong môi trường Java. Khi thành phần này bị khai thác, kẻ tấn công có thể tận dụng nó như một điểm trung chuyển để đi sâu vào hệ thống nội bộ.
Theo các nhà nghiên cứu, CVE-2026-34197 tồn tại suốt hơn một thập kỷ trước khi được phát hiện bởi Naveen Sunkavally từ Horizon3.ai, với sự hỗ trợ của trợ lý AI Claude. Lỗ hổng bắt nguồn từ cơ chế kiểm tra dữ liệu đầu vào không chặt chẽ, cho phép kẻ tấn công đã xác thực thực thi mã tùy ý trên hệ thống. Dù lỗ hổng đã được vá trong các phiên bản ActiveMQ Classic 6.2.3 và 5.19.4 phát hành cuối tháng 3, tuy nhiên nhiều hệ thống vẫn chưa cập nhật khiến các cuộc tấn công tiếp tục diễn ra trên diện rộng.
Mức độ nguy hiểm của lỗ hổng khiến Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) chính thức đưa CVE-2026-34197 vào danh mục các lỗ hổng bị khai thác trong thực tế. Việc nằm trong danh mục KEV đồng nghĩa với việc các cơ quan liên bang Mỹ bắt buộc phải xử lý dứt điểm theo thời hạn nghiêm ngặt. Đồng thời, đây cũng là cảnh báo rõ ràng đối với các doanh nghiệp và tổ chức trên toàn cầu, bao gồm cả tại Việt Nam, cần triển khai biện pháp ứng phó nhằm ngăn chặn rủi ro xâm nhập.
Trước việc lỗ hổng đã bị khai thác ngoài thực tế, các chuyên gia khuyến cáo doanh nghiệp cần khẩn trương cập nhật bản vá cho Apache ActiveMQ, đồng thời hạn chế truy cập từ Internet tới các cổng dịch vụ, đặc biệt là cổng quản trị. Song song, quản trị viên cần rà soát nhật ký hệ thống để phát hiện dấu hiệu xâm nhập, chú ý các kết nối bất thường sử dụng giao thức nội bộ VM hoặc tham số brokerConfig=xbean:http://.
Thực tế, ActiveMQ không phải lần đầu trở thành mục tiêu. Trước đó, nhiều lỗ hổng như CVE-2016-3088 và CVE-2023-46604 cũng từng bị khai thác ngoài thực tế, trong đó CVE-2023-46604 bị nhóm ransomware TellYouThePass sử dụng như một zero-day trong các chiến dịch tấn công.
Theo các nhà nghiên cứu, CVE-2026-34197 tồn tại suốt hơn một thập kỷ trước khi được phát hiện bởi Naveen Sunkavally từ Horizon3.ai, với sự hỗ trợ của trợ lý AI Claude. Lỗ hổng bắt nguồn từ cơ chế kiểm tra dữ liệu đầu vào không chặt chẽ, cho phép kẻ tấn công đã xác thực thực thi mã tùy ý trên hệ thống. Dù lỗ hổng đã được vá trong các phiên bản ActiveMQ Classic 6.2.3 và 5.19.4 phát hành cuối tháng 3, tuy nhiên nhiều hệ thống vẫn chưa cập nhật khiến các cuộc tấn công tiếp tục diễn ra trên diện rộng.
Mức độ nguy hiểm của lỗ hổng khiến Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) chính thức đưa CVE-2026-34197 vào danh mục các lỗ hổng bị khai thác trong thực tế. Việc nằm trong danh mục KEV đồng nghĩa với việc các cơ quan liên bang Mỹ bắt buộc phải xử lý dứt điểm theo thời hạn nghiêm ngặt. Đồng thời, đây cũng là cảnh báo rõ ràng đối với các doanh nghiệp và tổ chức trên toàn cầu, bao gồm cả tại Việt Nam, cần triển khai biện pháp ứng phó nhằm ngăn chặn rủi ro xâm nhập.
Trước việc lỗ hổng đã bị khai thác ngoài thực tế, các chuyên gia khuyến cáo doanh nghiệp cần khẩn trương cập nhật bản vá cho Apache ActiveMQ, đồng thời hạn chế truy cập từ Internet tới các cổng dịch vụ, đặc biệt là cổng quản trị. Song song, quản trị viên cần rà soát nhật ký hệ thống để phát hiện dấu hiệu xâm nhập, chú ý các kết nối bất thường sử dụng giao thức nội bộ VM hoặc tham số brokerConfig=xbean:http://.
Thực tế, ActiveMQ không phải lần đầu trở thành mục tiêu. Trước đó, nhiều lỗ hổng như CVE-2016-3088 và CVE-2023-46604 cũng từng bị khai thác ngoài thực tế, trong đó CVE-2023-46604 bị nhóm ransomware TellYouThePass sử dụng như một zero-day trong các chiến dịch tấn công.
Tổng hợp