Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Claude descubre fallo RCE de 13 años en Apache ActiveMQ en solo 10 minutos


Una vulnerabilidad crítica de ejecución remota de código (RCE) ha sido revelada en Apache ActiveMQ Classic, un fallo que permaneció sin detectar durante más de una década y que finalmente fue descubierto no por un investigador humano revisando manualmente el código, sino por el modelo de IA Claude de Anthropic en menos de 10 minutos. Registrada como CVE-2026-34197






Se ha revelado una vulnerabilidad crítica de ejecución remota de código (RCE) en Apache ActiveMQ Classic, un fallo que permaneció sin detectar durante más de una década y que finalmente fue descubierto no por un investigador humano revisando manualmente el código, sino por el modelo de IA Claude de Anthropic en menos de 10 minutos.

Registrada como CVE-2026-34197, la vulnerabilidad consiste en una validación incorrecta de entradas y una inyección de código en el puente JMX-HTTP Jolokia de Apache ActiveMQ Classic, expuesto a través de la consola web en /api/jolokia/ en el puerto 8161.

La vulnerabilidad permite a un atacante autenticado llamar a la operación de gestión addNetworkConnector(String) en el MBean del broker y proporcionar una URI de transporte VM manipulada que contenga un parámetro brokerConfig=xbean:http:// controlado por el atacante.

Al procesarse, la capa de transporte VM de ActiveMQ crea un broker integrado sobre la marcha llamando a BrokerFactory.createBroker() usando la URL proporcionada por el atacante.

Vulnerabilidad RCE en Apache ActiveMQ

El esquema xbean: luego pasa la URL a ResourceXmlApplicationContext de Spring, que instancia todas las definiciones de beans en el archivo XML remoto, permitiendo la ejecución arbitraria de comandos del sistema operativo a través de MethodInvokingFactoryBean de Spring para invocar Runtime.getRuntime().exec().

La causa raíz se remonta a una corrección para CVE-2022-41678, donde Apache añadió una regla de permiso general para Jolokia que permitía todas las operaciones en los MBeans propios de ActiveMQ (org.apache.activemq:*) para preservar la funcionalidad de la consola web. Esa decisión desbloqueó inadvertidamente cada operación de gestión, incluyendo addNetworkConnector, como superficie de ataque a través de la API REST de Jolokia.

Aunque CVE-2026-34197 requiere credenciales válidas en la mayoría de las implementaciones, las credenciales predeterminadas (admin:admin) están ampliamente presentes en entornos empresariales.

Vulnerabilidad RCE en Apache ActiveMQ (Fuente: Horizon3)

Más críticamente, las organizaciones que ejecutan versiones de ActiveMQ 6.0.0 a 6.1.1 están expuestas a una ruta de RCE completamente no autenticada. Un fallo separado, CVE-2024-32114, eliminó inadvertidamente las restricciones de autenticación del camino /api/* en esas versiones, lo que significa que el endpoint Jolokia no requiere credenciales, convirtiendo a CVE-2026-34197 en un RCE sin autenticación en esas compilaciones.

ActiveMQ tiene un historial bien documentado de ser objetivo en la naturaleza. Tanto CVE-2016-3088 (RCE autenticado a través de la consola web) como CVE-2023-46604 (RCE no autenticado a través del puerto del broker) están listados en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA.

Investigadores de Horizon3.ai atribuyeron a la IA Claude de Anthropic la identificación del fallo durante una revisión de código fuente asistida por IA. Al proporcionar a Claude un prompt ligero de búsqueda de vulnerabilidades y un objetivo en vivo para validación, el equipo permitió que la IA trazara la cadena de ataque multicomponente que abarca Jolokia, JMX, conectores de red y transportes VM en aproximadamente 10 minutos.

Los analistas señalaron que esta cadena probablemente habría tomado a un investigador humano experto una semana completa mapearla manualmente, subrayando cómo los modelos de IA están reduciendo fundamentalmente la barrera para la investigación de vulnerabilidades.

Mitigaciones

Las organizaciones deben monitorear los registros del broker de ActiveMQ en busca de entradas que hagan referencia a URIs vm:// que contengan brokerConfig=xbean:http, solicitudes POST a /api/jolokia/ con addNetworkConnector en el cuerpo, y conexiones HTTP salientes inesperadas desde el proceso de ActiveMQ. Los defensores también deben vigilar procesos hijos inusuales generados por la JVM de ActiveMQ.

La vulnerabilidad está parcheada en las versiones 5.19.4 y 6.2.3 de ActiveMQ Classic. La solución elimina por completo la capacidad de addNetworkConnector para registrar transportes vm:// a través de la API de Jolokia.

Todas las organizaciones que ejecuten versiones afectadas deben actualizar inmediatamente y auditar las implementaciones en busca de uso de credenciales predeterminadas en todas las instancias de ActiveMQ.


Fuentes:
https://cybersecuritynews.com/claude-apache-activemq/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.