Lỗ hổng Apache ActiveMQ vừa được vá đang bị khai thác trong thực tế

Lỗ hổng Apache ActiveMQ vừa được vá đang bị khai thác trong thực tế

Một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Apache ActiveMQ Classic, được theo dõi dưới mã CVE-2026-34197, đang bị khai thác tích cực bởi các tin tặc. Cơ quan An ninh mạng CISA đã đưa lỗ hổng này vào danh sách các lỗ hổng đang bị khai thác, yêu cầu các cơ quan liên bang áp dụng bản vá ngay lập tức.

Lỗ hổng bảo mật Apache

Lỗ hổng tồn tại 13 năm trong mã nguồn

Các tổ chức đang được cảnh báo về một lỗ hổng vừa được vá gần đây trong Apache ActiveMQ Classic đang bị khai thác trong môi trường thực. Lỗi này được theo dõi với mã định danh CVE-2026-34197 và mới được phát hiện khoảng 10 ngày trước, sau khi đã ẩn mình trong mã nguồn của phần mềm suốt 13 năm.

Apache ActiveMQ là một bộ trung gian tin nhắn (message broker) mã nguồn mở, đa giao thức, cho phép giao tiếp tin cậy và không đồng bộ giữa các ứng dụng. Nhà phát triển đã phát hành bản vá lỗi thông qua các phiên bản 5.19.5 và 6.2.3 để khắc phục vấn đề này.

Nguy cơ thực thi mã từ xa

CVE-2026-34197 liên quan đến API Jolokia và có thể cho phép kẻ tấn công đã xác thực thực thi mã tùy ý trên hệ thống bị ảnh hưởng. Các nhà nghiên cứu từ Horizon3.ai, những người đã phát hiện ra lỗ hổng này và công bố chi tiết vào ngày 7 tháng 4, chỉ ra rằng mặc dù việc khai thác CVE-2026-34197 yêu cầu xác thực, nhưng nhiều phiên bản Apache ActiveMQ vẫn được bảo vệ bởi các thông tin đăng nhập mặc định được biết đến rộng rãi.

Đáng lo ngại hơn, CVE-2026-34197 có thể được kết hợp chuỗi với một lỗ hổng cũ hơn được theo dõi là CVE-2024-32114 để đạt được khả năng thực thi mã từ xa mà không cần xác thực (unauthenticated remote code execution).

CISA yêu cầu áp dụng bản vá gấp

Vào thứ Năm tuần vừa qua, Cơ quan An ninh mạng và An ninh hạ tầng Hoa Kỳ (CISA) đã thêm CVE-2026-34197 vào danh mục Các lỗ hổng đã biết đang bị khai thác (Known Exploited Vulnerabilities - KEV). CISA đã chỉ đạo các cơ quan liên bang áp dụng bản vá lỗi trước ngày 30 tháng 4 để ngăn chặn các cuộc tấn công tiềm tàng.

Hiện tại, chưa có chi tiết cụ thể nào được công khai về các cuộc tấn công đang khai thác lỗ hổng này. Tuy nhiên, Fortinet cho biết họ đã ghi nhận hàng chục nỗ lực khai thác trong tuần qua.

Các chuyên gia khuyến nghị người dùng và quản trị viên hệ thống nên kiểm tra ngay lập tức các phiên bản Apache ActiveMQ đang chạy và cập nhật lên các bản vá mới nhất để bảo vệ hệ thống trước các mối đe dọa này.