أعلنت وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA) عن إضافة ثغرة أمنية جديدة في منصة Apache ActiveMQ Classic إلى قائمتها الرسمية للثغرات المستغلة (Known Exploited Vulnerabilities – KEV). الثغرة، التي تحمل الرمز CVE-2026-34197 وتقييم خطورة 8.8 وفق مقياس CVSS، تتعلق بخلل في التحقق من صحة المدخلات، ما يتيح للمهاجمين تنفيذ أوامر عشوائية على الأنظمة المستهدفة عبر حقن التعليمات البرمجية.
الوكالة شددت على ضرورة قيام الوكالات الفيدرالية المدنية بتنفيذ الإصلاحات قبل تاريخ 30 أبريل 2026، في خطوة تهدف إلى الحد من المخاطر المتزايدة المرتبطة بالاستغلال النشط لهذه الثغرة.
خلفية تقنية واستغلال فعلي
الباحث الأمني نافين سونكافالي من Horizon3.ai أوضح أن الثغرة كانت “مختبئة في العلن” منذ أكثر من 13 عاماً، حيث يمكن للمهاجم استغلال واجهة Jolokia API الخاصة بـ ActiveMQ لخداع الخادم وتحميل ملفات إعدادات عن بُعد وتشغيل أوامر نظام تشغيل خطيرة.
ورغم أن الاستغلال يتطلب بيانات اعتماد، إلا أن شيوع استخدام الحسابات الافتراضية (admin:admin) يجعل الكثير من البيئات عرضة للهجوم. الأخطر أن بعض الإصدارات (من 6.0.0 حتى 6.1.1) لا تحتاج إلى بيانات اعتماد إطلاقاً بسبب ثغرة أخرى هي CVE-2024-32114، ما يحول الثغرة الجديدة عملياً إلى ثغرة تنفيذ أوامر عن بُعد غير موثقة (Unauthenticated RCE).
الإصدارات المتأثرة والإصلاحات المتاحة
تشمل الإصدارات المتأثرة:
- Apache ActiveMQ Broker قبل الإصدار 5.19.4
- Apache ActiveMQ Broker من 6.0.0 حتى قبل 6.2.3
- Apache ActiveMQ (activemq-all) قبل الإصدار 5.19.4
- Apache ActiveMQ (activemq-all) من 6.0.0 حتى قبل 6.2.3
الحل الموصى به هو الترقية الفورية إلى الإصدار 5.19.4 أو 6.2.3، حيث تمت معالجة الثغرة بشكل كامل. ورغم عدم توفر تفاصيل دقيقة عن أساليب الاستغلال في الميدان، إلا أن تقارير حديثة من SAFE Security أكدت أن المهاجمين يستهدفون واجهات Jolokia المكشوفة في بيئات ActiveMQ Classic، فيما رصدت مختبرات Fortinet FortiGuard عشرات محاولات الاستغلال خلال أيام قليلة، بلغت ذروتها في 14 أبريل 2026.
السياق الأوسع وخطورة الاستهداف
منذ عام 2021، أصبح Apache ActiveMQ هدفاً مفضلاً للهجمات السيبرانية، حيث استُغلت ثغرات متعددة في حملات برمجيات خبيثة. ففي أغسطس 2025، تم استغلال ثغرة CVE-2023-46604 ذات التقييم 10.0 لإطلاق برمجية خبيثة على أنظمة لينكس عُرفت باسم DripDropper.
ويحذر خبراء SAFE Security من أن دور ActiveMQ في إدارة الرسائل المؤسسية وخطوط البيانات يجعله هدفاً عالي القيمة، إذ يمكن أن يؤدي الاستغلال إلى تسريب البيانات، تعطيل الخدمات، أو التحرك الأفقي داخل الشبكات. لذلك، توصي المؤسسات بمراجعة جميع النشرات للتأكد من عدم وجود واجهات Jolokia مكشوفة، وتقييد الوصول إلى الشبكات الموثوقة، وتطبيق مصادقة قوية، وتعطيل Jolokia عند عدم الحاجة إليها.
