En bref

  • CVE-2026-34197 : exécution de code à distance via l'API Jolokia d'Apache ActiveMQ Classic, score CVSS 8.8
  • Versions affectées : ActiveMQ Broker antérieures à 5.19.4 et 6.0.0 à 6.2.2, correction dans 5.19.4 et 6.2.3
  • Inscription au catalogue KEV de la CISA le 16 avril 2026, exploitation active observée par FortiGuard Labs
  • Action urgente : appliquer le patch, isoler les endpoints Jolokia, modifier les credentials par défaut

Les faits

Apache a publié le 9 avril 2026 un avis de sécurité concernant la CVE-2026-34197, une vulnérabilité d'exécution de code à distance affectant les serveurs ActiveMQ Classic. Le défaut, qui dormait dans la base de code depuis treize années selon les analyses publiées par Help Net Security et Security Boulevard, exploite l'API Jolokia pour invoquer des opérations de gestion sensibles sur le broker JMS et obtenir une exécution de commandes système. Quelques jours après sa divulgation, FortiGuard Labs a observé des dizaines de tentatives d'exploitation visant les endpoints Jolokia exposés sur Internet. La CISA a inscrit la faille à son catalogue Known Exploited Vulnerabilities le 16 avril 2026, contraignant les agences fédérales américaines à corriger leurs instances avant le 6 mai. Le score CVSS officiel est de 8.8, mais l'impact réel approche le maximum lorsque l'API Jolokia reste exposée sans authentification, ce qui demeure fréquent dans les déploiements par défaut.

Le vecteur d'exploitation passe par l'opération addNetworkConnector(String) exposée sur le MBean du broker. En invoquant cette méthode via une requête HTTP vers Jolokia, un attaquant peut convaincre ActiveMQ de récupérer un fichier de configuration distant et d'exécuter les commandes système qu'il contient. Sur les versions 6.0.0 à 6.1.1, la combinaison avec la CVE-2024-32114 — qui expose involontairement Jolokia sans authentification — transforme cette RCE en exploitation totalement non authentifiée. Sur les autres versions, l'exploitation requiert des identifiants valides, mais les couples par défaut admin/admin sont si répandus qu'ils suffisent dans la majorité des déploiements rencontrés en environnement professionnel.

Impact et exposition

Apache ActiveMQ Classic est l'un des courtiers de messagerie JMS les plus déployés, en particulier dans les architectures bancaires, télécoms et industrielles. La compromission d'un broker entraîne plusieurs conséquences immédiates : exécution de code arbitraire sur l'hôte avec les privilèges du processus ActiveMQ, lecture et altération des messages transitant entre les applications connectées, et pivot latéral vers les systèmes back-office consommateurs des files d'attente. La surface d'attaque réelle est difficile à mesurer, car l'API Jolokia est souvent activée par défaut sur le port 8161 derrière une console web d'administration. Les scans Shodan publics au moment de la divulgation faisaient état de plusieurs milliers d'instances exposées, dont une part significative en versions vulnérables. Les agences fédérales américaines ne sont qu'une fraction du périmètre concerné : tout opérateur exposant un broker ActiveMQ public ou même accessible depuis un réseau d'entreprise étendu doit considérer la menace comme imminente. La détection passe par l'analyse des journaux d'accès Jolokia à la recherche d'appels à addNetworkConnector, createNetworkConnector ou de paramètres URI suspects pointant vers des serveurs externes.

Recommandations immédiates

  • Mettre à jour vers ActiveMQ Classic 5.19.4 ou 6.2.3 — advisory Apache ActiveMQ Security Advisory du 9 avril 2026
  • Si le patch ne peut être appliqué immédiatement, désactiver Jolokia en supprimant le contexte /api/jolokia/* du fichier jetty.xml
  • Restreindre l'accès à la console d'administration au strict réseau d'administration via firewall ou ACL réseau
  • Modifier impérativement les credentials par défaut admin/admin et user/user dans users.properties
  • Surveiller les journaux d'accès pour détecter les requêtes POST vers /api/jolokia/exec ciblant le MBean broker
  • Couper toute exposition Internet directe du port 8161 et préférer un reverse proxy authentifié

⚠️ Urgence

L'inscription au KEV CISA et l'observation d'exploitation active par FortiGuard imposent une action sous 72 heures. Les serveurs ActiveMQ exposés à Internet doivent être considérés comme déjà compromis si aucune correction n'a été appliquée et que les journaux d'accès Jolokia n'ont pas été analysés rétrospectivement.

Comment savoir si je suis vulnérable ?

Vérifiez la version exacte du broker en interrogeant la page /admin/index.jsp ou via la commande activemq --version. Toute version antérieure à 5.19.4 ou comprise entre 6.0.0 et 6.2.2 est vulnérable. Testez l'exposition Jolokia avec curl -u admin:admin http://<host>:8161/api/jolokia/version : une réponse JSON valide signale un point d'entrée actif et un risque immédiat.

Le patch suffit-il ou faut-il vérifier la compromission ?

Le patch corrige la classe vulnérable mais ne supprime pas les portes dérobées laissées par d'éventuelles exploitations antérieures. Une analyse forensique des journaux Jolokia, de la configuration des connecteurs réseau et des fichiers récemment modifiés sous le répertoire conf/ est indispensable pour les instances exposées avant l'application du correctif.

Pour aller plus loin

Cette nouvelle alerte s'inscrit dans une série continue de RCE critiques affectant les middlewares d'entreprise. Voir notre couverture du contexte de la découverte assistée par IA de cette faille ActiveMQ, ainsi que les analyses récentes sur la RCE non authentifiée FortiSandbox et l'injection de commande VMware Aria Operations. Pour le panorama des vulnérabilités exploitées du mois, consulter notre synthèse du Patch Tuesday d'avril 2026.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit