CISA yêu cầu các cơ quan liên bang Mỹ vá lỗi 13 năm tuổi của Apache ActiveMQ đang bị tấn công

CISA yêu cầu các cơ quan liên bang Mỹ vá lỗi 13 năm tuổi của Apache ActiveMQ đang bị tấn công

Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ (CISA) vừa đưa ra cảnh báo khẩn cấp về một lỗ hổng bảo mật trong Apache ActiveMQ đã tồn tại suốt 13 năm qua. Lỗi này hiện đang bị tin tặc khai thác tích cực, buộc các cơ quan chính phủ phải áp dụng bản vá trong vòng hai tuần.

Lỗ hổng "ngủ quên" suốt hơn một thập kỷ

Vào thứ Năm vừa qua, CISA đã thêm lỗi này, được mã hóa là CVE-2026-34197, vào danh mục "Lỗ hổng đang bị khai thác" (Known Exploited Vulnerabilities - KEV). Quyết định này kích hoạt Chỉ thị Vận hành Ràng buộc (BOD) 22-01, đặt ra hạn chót vào ngày 30 tháng 4 cho các cơ quan hành pháp dân sự liên bang để khắc phục sự cố hoặc phải giải trình lý do không thực hiện.

Lỗi hổng nằm trong Apache ActiveMQ, một phần mềm trung gian mã nguồn mở (message broker) phổ biến dùng để truyền tải dữ liệu giữa các ứng dụng và dịch vụ. Lỗi này cho phép một người dùng đã xác thực thực thi mã tùy ý thông qua API quản lý Jolokia của phần mềm — biến công cụ nhắn tin này thành một công cụ chạy lệnh từ xa.

Phát hiện nhờ sự hỗ trợ của AI

Lỗi này được công bố cách đây hơn một tuần bởi nhà nghiên cứu Naveen Sunkavally thuộc Horizon3.ai. Đáng chú ý, ông đã sử dụng trợ lý AI Claude của Anthropic để giúp tìm ra lỗi này. Theo Horizon3, vấn đề này đã ẩn mình trong mã nguồn suốt 13 năm mà không bị phát hiện cho đến nay. Các bản vá lỗi hiện đã có sẵn trong các phiên bản ActiveMQ 5.19.5 và 6.2.3.

"CVE-2026-34197 là lỗ hổng thực thi mã từ xa trong Apache ActiveMQ Classic đã ẩn mình ngay trước mắt chúng ta trong 13 năm," Sunkavally cho biết. "Kẻ tấn công có thể gọi một thao tác quản lý thông qua API Jolokia của ActiveMQ để đánh lừa trình môi giới (broker) tìm nạp một tệp cấu hình từ xa và chạy các lệnh hệ điều hành tùy ý."

Rủi ro từ thông tin đăng nhập mặc định

Về mặt kỹ thuật, lỗi này yêu cầu xác thực người dùng. Tuy nhiên, Horizon3 lưu ý rằng nhiều bản triển khai vẫn dựa vào thông tin đăng nhập mặc định — cặp tên đăng nhập/mật khẩu "admin:admin" quen thuộc — khiến việc truy cập ban đầu trở nên cực kỳ dễ dàng.

Tệ hơn nữa, trên một số phiên bản cụ thể (từ 6.0.0 đến 6.1.1), một lỗi cũ hơn là CVE-2024-32114 có thể phơi bày API Jolokia mà không cần xác thực nào cả. Điều này biến chuỗi khai thác thành một lỗ hổng thực thi mã từ xa hoàn toàn không cần mật khẩu.

"Lỗ hổng này yêu cầu thông tin đăng nhập, nhưng thông tin đăng nhập mặc định rất phổ biến trong nhiều môi trường," Sunkavally giải thích. "Trên một số phiên bản... hoàn toàn không cần thông tin đăng nhập... Trong những phiên bản đó, CVE-2026-34197 thực chất là một lỗ hổng RCE không cần xác thực."

Tác động và khuyến nghị

Sự kết hợp này chính xác là loại yếu tố khiến một lỗi lọt vào danh sách KEV của CISA, danh sách dành riêng cho các lỗ hổng đang bị khai thác thực tế trong môi trường thực. Và có rất nhiều mục tiêu để nhắm tới: tổ chức giám sát mối đe dọa ShadowServer đang theo dõi hơn 8.000 phiên bản ActiveMQ có thể tiếp cận từ internet công cộng.

Đây cũng không phải lần đầu tiên Apache ActiveMQ trở thành mục tiêu của tin tặc. Nền tảng này đã từng bị xâm nhập nhiều lần, từ việc đào tiền ảo (cryptominer) đến cơ sở hạ tầng botnet. Như Sunkavally chỉ ra, không có gì quá mới mẻ ở đây, điều này đặt trách nhiệm hoàn toàn lên các quản trị viên hệ thống cần hành động nhanh chóng.