Apache ActiveMQ bị khai thác nghiêm trọng, CISA khẩn cấp cảnh báo

Một lỗ hổng bảo mật nghiêm trọng mới được phát hiện trong Apache ActiveMQ Classic đang gây xôn xao cộng đồng an ninh mạng toàn cầu. Cơ quan An ninh Mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa phát đi cảnh báo khẩn cấp về việc lỗ hổng này đang bị khai thác tích cực trong thực tế. Đây là một diễn biến đáng báo động, đặc biệt khi Apache ActiveMQ là một trong những middleware phổ biến nhất được sử dụng rộng rãi trong các hệ thống doanh nghiệp.

Chi tiết sự việc

CISA đã chính thức bổ sung lỗ hổng CVE-2026-34197 vào danh mục KEV (Known Exploited Vulnerabilities), yêu cầu tất cả các cơ quan liên bang dân sự phải thực hiện các biện pháp khắc phục ngay lập tức. Việc đưa vào danh sách KEV cho thấy mức độ nghiêm trọng và khẩn cấp của vấn đề này. Các chuyên gia an ninh mạng đang theo dõi sát sao tình hình khai thác lỗ hổng trong môi trường thực tế.

Theo báo cáo từ CISA, các cuộc tấn công nhắm vào lỗ hổng này đã được ghi nhận tại nhiều tổ chức khác nhau. Điều đặc biệt đáng lo ngại là tốc độ lan truyền của các cuộc tấn công này, cho thấy tin tặc đã nhanh chóng weaponize lỗ hổng ngay sau khi thông tin được công bố. Các nhà nghiên cứu bảo mật đang tiếp tục phân tích để hiểu rõ hơn về phương thức tấn công và mức độ tác động.

Mức độ nghiêm trọng

Với điểm số CVSS là 8.8, CVE-2026-34197 được xếp vào loại lỗ hổng có mức độ nghiêm trọng cao. Điểm số này phản ánh khả năng gây tác động nghiêm trọng đến tính bảo mật, toàn vẹn và khả năng sẵn sàng của hệ thống. Apache ActiveMQ Classic được sử dụng rộng rãi trong các môi trường doanh nghiệp để xử lý message queue, do đó việc bị tấn công có thể ảnh hưởng đến hoạt động kinh doanh quan trọng. Các tổ chức sử dụng sản phẩm này có thể đối mặt với nguy cơ rò rỉ dữ liệu, gián đoạn dịch vụ hoặc thậm chí là kiểm soát hoàn toàn hệ thống.

Tác động của lỗ hổng này không chỉ giới hạn ở việc xâm nhập ban đầu mà còn có thể trở thành bàn đạp cho các cuộc tấn công sâu hơn vào hạ tầng mạng. Tin tặc có thể lợi dụng quyền truy cập thu được để di chuyển ngang trong mạng, đánh cắp thông tin nhạy cảm hoặc cài đặt backdoor để duy trì sự hiện diện lâu dài. Điều này làm tăng thêm mức độ nghiêm trọng của tình huống hiện tại.

Phân tích kỹ thuật

CVE-2026-34197 tồn tại trong các thành phần xử lý core của Apache ActiveMQ Classic, cho phép kзлоумышленник thực thi mã từ xa mà không cần xác thực. Lỗ hổng này có nguồn gốc từ việc xử lý không an toàn các message đầu vào, tạo điều kiện cho tin tặc inject và thực thi payload độc hại. Cơ chế khai thác tương đối đơn giản, điều này giải thích tại sao nó nhanh chóng bị lạm dụng sau khi được công bố. Các chuyên gia đã xác nhận rằng không cần kỹ năng kỹ thuật cao để khai thác lỗ hổng này.

Đặc biệt đáng chú ý là lỗ hổng này có thể được khai thác từ xa mà không cần tương tác từ người dùng, làm tăng đáng kể nguy cơ tấn công tự động hóa. Tin tặc có thể quét và tấn công hàng loạt các hệ thống dễ bị tổn thương một cách nhanh chóng. Việc Apache ActiveMQ thường được deploy với các cấu hình mặc định cũng làm tăng thêm surface attack, tạo điều kiện thuận lợi cho các cuộc tấn công quy mô lớn.

Khuyến nghị bảo mật

Các tổ chức đang sử dụng Apache ActiveMQ Classic cần ngay lập tức kiểm tra phiên bản hiện tại và lập kế hoạch nâng cấp khẩn cấp. CISA khuyến nghị nên áp dụng các bản vá bảo mật ngay khi có sẵn, đồng thời triển khai các biện pháp giảm thiểu tạm thời như hạn chế truy cập mạng và tăng cường giám sát. Bên cạnh đó, cần rà soát lại cấu hình bảo mật, đặc biệt là các thiết lập liên quan đến xác thực và phân quyền. Việc backup dữ liệu quan trọng và xây dựng kế hoạch ứng phó sự cố cũng là những bước cần thiết để sẵn sàng đối phó với mọi tình huống xấu có thể xảy ra.