CISA เตือนช่องโหว่ Apache ActiveMQ ถูกใช้โจมตีจริงแล้ว สั่งหน่วยงานรัฐแพตช์ด่วน

CISA ออกประกาศเตือนช่องโหว่ระดับ High บน Apache ActiveMQ ที่ถูกใช้โจมตีจริงแล้ว พร้อมสั่งให้หน่วยงานรัฐบาลกลางสหรัฐฯ แพตช์ภายในวันที่ 30 เมษายน 2026

ช่องโหว่ CVE-2026-34197 เป็นปัญหาด้าน Input Validation ที่ไม่เหมาะสมบน Apache ActiveMQ ซึ่งเป็น Open-source Message Broker ภาษา Java ยอดนิยมสำหรับการสื่อสารแบบ Asynchronous ระหว่างแอปพลิเคชัน โดยช่องโหว่นี้ซ่อนอยู่ในโค้ดมานานถึง 13 ปี ก่อนที่ทีมวิจัยจาก Horizon3 จะค้นพบ ช่องโหว่ดังกล่าวทำให้ผู้โจมตีที่ผ่านการ Authenticate แล้วสามารถรันคำสั่งบนเซิร์ฟเวอร์ได้ผ่าน Injection Attack โดยทีมพัฒนา Apache ได้ปล่อยแพตช์แก้ไขไปเมื่อวันที่ 30 มีนาคมที่ผ่านมาใน ActiveMQ Classic เวอร์ชัน 6.2.3 และ 5.19.4

CISA ได้เพิ่ม CVE-2026-34197 เข้าสู่ Known Exploited Vulnerabilities (KEV) Catalog อย่างเป็นทางการ พร้อมสั่งการให้หน่วยงาน Federal Civilian Executive Branch (FCEB) ดำเนินการแพตช์ภายในสองสัปดาห์ตามข้อกำหนดของ Binding Operational Directive (BOD) 22-01 ปัจจุบันบริการ Shadowserver ตรวจพบเซิร์ฟเวอร์ Apache ActiveMQ กว่า 7,500 เครื่องที่เปิดเข้าถึงได้จากอินเทอร์เน็ต ซึ่งล้วนเป็นเป้าหมายที่มีความเสี่ยง

Horizon3 ระบุว่าผู้ดูแลระบบสามารถตรวจหาสัญญาณการโจมตีได้จาก ActiveMQ Broker Logs โดยให้สังเกตการเชื่อมต่อที่น่าสงสัยซึ่งใช้ Query Parameter อย่าง brokerConfig=xbean:http:// และ Internal Transport Protocol VM ทั้งนี้ CISA เรียกร้องให้ทั้งหน่วยงานรัฐและองค์กรเอกชนเร่งแพตช์โดยด่วน เนื่องจาก Apache ActiveMQ เคยตกเป็นเป้าหมายของกลุ่มแฮกเกอร์มาแล้วหลายครั้ง รวมถึง CVE-2023-46604 ที่ถูกกลุ่ม Ransomware TellYouThePass ใช้โจมตีในฐานะ Zero-day และ CVE-2016-3088 ที่เคยถูกใช้โจมตีในอดีตเช่นกัน

ที่มา: https://www.bleepingcomputer.com/news/security/cisa-flags-apache-activemq-flaw-as-actively-exploited-in-attacks/