Apache ActiveMQ 漏洞被利用，被加入 CISA KEV 目录

执行摘要

Apache ActiveMQ Classic 中存在一个高严重性的漏洞，跟踪编号为 CVE-2026-34197，目前正在野外被积极利用。美国网络安全和基础设施安全局（CISA）已将该漏洞添加到其已知被利用漏洞（KEV）目录中，要求联邦民用机构在 2026 年 5 月 8 日之前修补。这个漏洞的 CVSS 评分为 8.8，允许远程代码执行（RCE），并且已与勒索软件部署尝试相关联。

技术分析

CVE-2026-34197 是一个影响 Apache ActiveMQ Classic 版本 5.18.0 至 5.18.4、5.17.0 至 5.17.7、5.16.0 至 5.16.8 以及所有早于 5.15.17 版本的不可信数据反序列化漏洞。根据 Apache 的通告，该漏洞存在于 OpenWire 协议的编组器中。具有对 ActiveMQ 实例网络访问权限的远程攻击者可以通过发送一个特别制作的 OpenWire 数据包来利用此漏洞，导致恶意数据的反序列化以及在代理主机上以 ActiveMQ 进程的权限执行任意代码。

该漏洞在 2026 年 3 月发布的版本 5.15.17、5.16.9、5.17.8 和 5.18.5 中被修补。CISA 的 KEV 条目，日期为 2026 年 4 月 16 日，指出该漏洞“已知目前正在被利用”，尽管该机构的简短描述没有指明攻击的性质。Hacker News 的报告将利用活动与勒索软件活动联系起来，尽管源材料中没有指明具体的勒索软件家族或威胁行为者。

入侵指标

目前没有识别出任何入侵指标。建议安全团队监控针对 ActiveMQ 代理端口（通常是 TCP 61616 用于 OpenWire）的异常网络流量，以及源自 ActiveMQ 服务账户的意外进程创建或网络连接。

战术、技术与程序

根据技术描述和与勒索软件的联系，可能的利用链包括通过利用易受攻击的 OpenWire 服务（T1190 - 利用面向公众的应用程序）获得初始访问权限。成功利用导致远程代码执行（T1203 - 利用客户端执行），这可以用来建立立足点，禁用安全控制，并部署勒索软件负载（T1486 - 数据加密以产生影响）。使用反序列化漏洞与技术 T1212 - 利用凭证访问相一致，因为它可以在受信任的进程上下文中执行任意代码。

威胁行为者背景

源材料没有将活跃的利用归因于特定的命名威胁行为者或团体。提到勒索软件活动表明是出于财务动机的行为者，但他们的身份和来源仍然不清楚。目标似乎是机会主义的，专注于公开暴露且未修补的 ActiveMQ 实例，而不是特定的部门或地区。

缓解措施与建议

主要的缓解措施是立即修补。运行受影响版本的 Apache ActiveMQ Classic 的组织必须升级到修补后的版本：5.15.17、5.16.9、5.17.8 或 5.18.5。CISA 已给联邦机构设定了 2026 年 5 月 8 日的强制性截止日期来应用这些更新，所有组织都应该效仿这一时间表。

如果立即修补不可行，管理员应考虑实施网络级控制，以限制对 OpenWire 端口（默认为 TCP 61616）的访问，仅限于受信任的必要来源。作为一般安全实践，不应以 root 或管理员权限运行 ActiveMQ 代理。组织还应该检查他们的实例是否有任何妥协的迹象，如不熟悉的队列、主题或计划任务。