-
09/04/2020
-
128
-
1.791 bài viết
Lỗ hổng tồn tại suốt 13 năm trong ActiveMQ cho phép thực thi lệnh từ xa
Các chuyên gia an ninh mạng vừa phát hiện một lỗ hổng nghiêm trọng tồn tại suốt 13 năm trong Apache ActiveMQ Classic - phần mềm trung gian truyền dữ liệu giữa các hệ thống theo cơ chế “hàng chờ” cho phép kẻ tấn công thực thi lệnh từ xa trên hệ thống mục tiêu.
Lỗ hổng được định danh CVE-2026-34197, có điểm CVSS 8,8, ảnh hưởng tới các phiên bản ActiveMQ Classic trước 5.19.4 và từ 6.0.0 đến 6.2.3. Đây là phần mềm mã nguồn mở phổ biến, được sử dụng rộng rãi trong các hệ thống backend, doanh nghiệp và cơ quan nhà nước để kết nối và trao đổi dữ liệu giữa nhiều dịch vụ khác nhau.
Lỗ hổng được định danh CVE-2026-34197, có điểm CVSS 8,8, ảnh hưởng tới các phiên bản ActiveMQ Classic trước 5.19.4 và từ 6.0.0 đến 6.2.3. Đây là phần mềm mã nguồn mở phổ biến, được sử dụng rộng rãi trong các hệ thống backend, doanh nghiệp và cơ quan nhà nước để kết nối và trao đổi dữ liệu giữa nhiều dịch vụ khác nhau.
Lỗ hổng tổ hợp khó phát hiện
CVE-2026-34197 là kết quả của việc kết hợp nhiều cơ chế như Jolokia (API quản trị), JMX, network connector và VM transport. Trong đó, API Jolokia cho phép gọi tới hàm addNetworkConnector, có khả năng nạp cấu hình từ xa.
Kẻ tấn công có thể lợi dụng cơ chế này để gửi một yêu cầu, buộc broker tải một file cấu hình Spring XML từ máy chủ bên ngoài. Trong quá trình khởi tạo, file này có thể chứa mã độc và được thực thi trực tiếp trên hệ thống, dẫn tới thực thi lệnh từ xa.
Đáng chú ý, CVE-2026-34197 trong điều kiện bình thường yêu cầu xác thực để khai thác. Tuy nhiên, trên các phiên bản từ 6.0.0 đến 6.1.1, một lỗ hổng cũ khác là CVE-2024-32114 khiến API Jolokia bị lộ mà không cần kiểm soát truy cập. Khi hai lỗ hổng này kết hợp, kẻ tấn công có thể khai thác CVE-2026-34197 mà không cần đăng nhập, làm gia tăng mức độ nguy hiểm.
Dù chưa ghi nhận khai thác diện rộng đối với CVE-2026-34197, các chuyên gia cảnh báo ActiveMQ từ lâu đã là mục tiêu quen thuộc của tin tặc. Trước đó, các lỗ hổng như CVE-2023-46604 hay CVE-2016-3088 đều đã bị khai thác.
Dấu hiệu nhận biết tấn công có thể xuất hiện trong log hệ thống, bao gồm:
Kẻ tấn công có thể lợi dụng cơ chế này để gửi một yêu cầu, buộc broker tải một file cấu hình Spring XML từ máy chủ bên ngoài. Trong quá trình khởi tạo, file này có thể chứa mã độc và được thực thi trực tiếp trên hệ thống, dẫn tới thực thi lệnh từ xa.
Đáng chú ý, CVE-2026-34197 trong điều kiện bình thường yêu cầu xác thực để khai thác. Tuy nhiên, trên các phiên bản từ 6.0.0 đến 6.1.1, một lỗ hổng cũ khác là CVE-2024-32114 khiến API Jolokia bị lộ mà không cần kiểm soát truy cập. Khi hai lỗ hổng này kết hợp, kẻ tấn công có thể khai thác CVE-2026-34197 mà không cần đăng nhập, làm gia tăng mức độ nguy hiểm.
Dù chưa ghi nhận khai thác diện rộng đối với CVE-2026-34197, các chuyên gia cảnh báo ActiveMQ từ lâu đã là mục tiêu quen thuộc của tin tặc. Trước đó, các lỗ hổng như CVE-2023-46604 hay CVE-2016-3088 đều đã bị khai thác.
Dấu hiệu nhận biết tấn công có thể xuất hiện trong log hệ thống, bao gồm:
- Kết nối broker bất thường sử dụng giao thức nội bộ VM
- Tham số đáng ngờ như brokerConfig=xbean:http://...
- Các cảnh báo lỗi cấu hình xuất hiện sau nhiều lần kết nối
Khi hệ thống hiển thị cảnh báo, mã độc có thể đã được thực thi trước đó.
Khuyến cáo từ chuyên gia
Các tổ chức đang sử dụng ActiveMQ cần khẩn trương:
- Cập nhật lên phiên bản đã vá (5.19.4 hoặc 6.2.3 trở lên)
- Kiểm tra và giới hạn truy cập tới API Jolokia
- Rà soát log để phát hiện dấu hiệu khai thác
- Cô lập các dịch vụ quản trị khỏi Internet
Theo Bleeping Computer
Chỉnh sửa lần cuối: