Apache ActiveMQ CVE-2026-34197 : 6 400 serveurs exposés

Ce qui s'est passé

La faille CVE-2026-34197, corrigée discrètement par Apache le 30 mars 2026, a été ajoutée cette semaine au catalogue Known Exploited Vulnerabilities (KEV) de la CISA, confirmant officiellement son exploitation active en conditions réelles. La vulnérabilité touche Apache ActiveMQ Classic, broker de messagerie JMS largement déployé dans les architectures d'entreprise pour le découplage d'applications et les chaînes de traitement asynchrones. Selon Horizon3.ai, qui a publié l'analyse technique détaillée, la faille réside dans l'API de management Jolokia exposée par défaut sur le port 8161 : un attaquant authentifié peut invoquer une opération de configuration qui pousse le broker à charger un fichier de configuration distant, puis à exécuter des commandes arbitraires au niveau du système d'exploitation. Fortinet FortiGuard Labs a observé des dizaines de tentatives d'exploitation par jour depuis mi-avril, avec un pic observé le 14 avril 2026.

Un scan Shodan récent recense plus de 6 400 adresses IP exposant un ActiveMQ vulnérable, principalement en Asie (2 925), en Amérique du Nord (1 409) et en Europe (1 334). Le facteur aggravant : la vulnérabilité exige en théorie des identifiants, mais le couple par défaut admin:admin reste massivement en place. Pis encore, les versions 6.0.0 à 6.1.1 cumulent une seconde faille (CVE-2024-32114) qui expose Jolokia sans authentification — transformant CVE-2026-34197 en RCE non authentifiée sur ces déploiements, selon l'analyse de The Register.

Pourquoi c'est important

ActiveMQ est un composant d'infrastructure discret mais critique : il orchestre souvent des files de messages bancaires, logistiques ou industrielles. Une compromission du broker donne à l'attaquant un accès pivot vers tous les producteurs et consommateurs connectés, avec une visibilité sur les messages en transit. La faille est qualifiée par Horizon3 de « hiding in plain sight for 13 years » : le code vulnérable existe depuis les premières versions publiques du projet, ce qui signifie que l'exposition réelle dépasse largement les 6 400 serveurs détectés — beaucoup d'instances internes non exposées restent également vulnérables en cas de pivot latéral. Le parallèle avec le récent Spinnaker CVE-2026-32604 et le MCPwn sur nginx-ui est frappant : trois RCE non authentifiées sur des composants DevOps en moins de quinze jours.

La CISA a fixé au 8 mai 2026 la date limite de patch pour les agences fédérales américaines, conformément à la directive BOD 22-01. En Europe, les opérateurs soumis à NIS2 devraient appliquer le correctif dans les 72 heures au titre de l'obligation de diligence, particulièrement pour les secteurs finance, transport et énergie qui utilisent massivement ActiveMQ en backend de leurs files d'événements métier.

Ce qu'il faut retenir

• Migrer immédiatement vers ActiveMQ Classic 6.2.3 ou 5.19.4, les deux seules versions contenant le correctif officiel publié le 30 mars 2026.
• Changer tous les identifiants par défaut du fichier jetty-realm.properties, même sur les instances non exposées à internet, pour bloquer les pivots latéraux.
• Désactiver Jolokia si la console web n'est pas utilisée, ou le restreindre aux IP internes via jolokia-access.xml.