Uma vulnerabilidade crítica no Apache ActiveMQ, o message broker Java amplamente utilizado para comunicação assíncrona entre aplicações corporativas, está sendo ativamente explorada por atacantes. A falha, que permaneceu não detectada por 13 anos, foi confirmada como explorada em ataques reais pela Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos, que adicionou a vulnerabilidade ao seu catálogo Known Exploited Vulnerabilities (KEV).
Descoberta inusitada revela falha de validação
A vulnerabilidade foi descoberta por Naveen Sunkavally, pesquisador da Horizon3, em circunstâncias notáveis: ele utilizou o assistente de IA Claude para identificar a falha de segurança. O problema reside na validação inadequada de entrada (improper input validation) no Apache ActiveMQ, especificamente no processamento do parâmetro de consulta brokerConfig=xbean:http://.
A exploração da vulnerabilidade segue uma cadeia de ataque específica. Primeiro, o atacante precisa obter acesso autenticado ao servidor ActiveMQ. Uma vez dentro, pode injetar código malicioso através do parâmetro vulnerável em conjunto com o protocolo de transporte interno VM, permitindo execução remota de código e persistência no sistema comprometido.
Patches disponíveis há meses, mas exposição permanece alta
A Apache Software Foundation lançou correções em 30 de março nas versões ActiveMQ Classic 6.2.3 e 5.19.4. Apesar dos patches estarem disponíveis há meses, dados do ShadowServer indicam que mais de 7.500 servidores Apache ActiveMQ permanecem expostos online, representando um risco significativo para organizações que ainda não aplicaram as atualizações.
A Horizon3 classificou esta vulnerabilidade como de alta prioridade, alertando que “métodos de exploração e pós-exploração do ActiveMQ são bem conhecidos” pela comunidade de atacantes. Esta não é a primeira vez que o Apache ActiveMQ se torna alvo: o CISA já catalogou duas vulnerabilidades anteriores como exploradas em ambiente real – CVE-2023-46604, que foi explorada como zero-day pelo grupo ransomware TellYouThePass, e CVE-2016-3088.
Indicadores técnicos para detecção
Administradores de sistemas devem monitorar seus logs em busca de indicadores específicos de comprometimento. Os principais sinais incluem conexões suspeitas de broker utilizando o parâmetro brokerConfig=xbean:http:// e uso anômalo do protocolo de transporte interno VM. A análise detalhada dos logs do broker ActiveMQ é essencial para identificar padrões de exploração.
Prazo obrigatório para agências federais dos EUA
O CISA estabeleceu um prazo rígido através da diretiva BOD 22-01: agências federais americanas devem aplicar as mitigações até 30 de abril. A agência também recomenda fortemente que organizações do setor privado priorizem a aplicação dos patches disponíveis, considerando o histórico de ataques contra a plataforma e a confirmação de exploração ativa.
A longevidade desta vulnerabilidade – 13 anos sem detecção – ressalta a importância de revisões contínuas de código e a necessidade de organizações manterem inventários atualizados de seus ativos e aplicarem patches de segurança prontamente. Com atacantes ativamente explorando a falha, organizações que utilizam Apache ActiveMQ devem tratar a atualização como crítica e imediata.