Claude se lució, pero la gente lo pasó por alto: una red neuronal halló en el código de Apache un “regalo” para hackers que llevaba diez años allí.
Nuevo fallo en el código permite ejecutar comandos de forma remota en servidores sin introducir contraseña.
Se encontró una vulnerabilidad en un popular servidor de mensajería que permaneció en el código más de diez años y permitía ejecutar comandos en el servidor. En varios casos al atacante ni siquiera le hacía falta la contraseña.
Se trata del problema con el código CVE-2026-34197 en Apache ActiveMQ Classic. La vulnerabilidad permite ejecutar comandos remotos a través de la interfaz de administración. El atacante puede obligar al servidor a cargar un archivo de configuración externo y ejecutar desde él comandos del sistema operativo.
El ataque se basa en la interfaz Jolokia, que convierte las funciones internas de administración de Java en una interfaz web común. A través de ella se puede invocar la operación addNetworkConnector. En funcionamiento normal la función conecta varios servidores entre sí, pero en la versión vulnerable acepta una dirección falsa y carga la configuración desde un servidor remoto del atacante.
A continuación se activa una cadena de eventos: el servidor obtiene un enlace a un archivo XML, lo procesa mediante el mecanismo Spring y ejecuta los comandos indicados en su interior. Por ejemplo, dicho archivo puede llamar directamente a un comando del sistema mediante Runtime.exec().
Formalmente para el ataque se requiere acceso a una cuenta. En la práctica la situación es peor. En muchas instalaciones aún se usan las credenciales por defecto admin:admin. Además, en las versiones 6.0.0–6.1.1 existe otra vulnerabilidad, CVE-2024-32114, que abre el acceso a la interfaz sin ningún tipo de verificación. En esos sistemas CVE-2026-34197 se convierte en ejecución remota de código totalmente sin autorización.
Apache ActiveMQ se utiliza ampliamente en entornos corporativos. El sistema gestiona colas de mensajes y conecta distintos servicios. La solución la emplean bancos, sistemas médicos, organismos públicos y tiendas en línea, por lo que la escala potencial de los ataques es grande.
El problema afecta solo a la versión clásica del broker. La nueva implementación Artemis no es vulnerable. Curiosamente, la herramienta basada en inteligencia artificial — Claude — ayudó a detectar el problema. Según el autor del hallazgo, el sistema analizó el código y en diez minutos ensambló una cadena de ataque funcional.
Los desarrolladores ya publicaron una corrección. La vulnerabilidad está cerrada en las versiones 5.19.4 y 6.2.3. En el parche se eliminó la posibilidad de crear conexiones mediante vm:// desde peticiones remotas: precisamente ese mecanismo permitía llevar a cabo el ataque.
Las señales de intrusión pueden detectarse en los registros del servidor. Deben generar sospecha los intentos de crear conexiones con direcciones del tipo vm:// con el parámetro brokerConfig que apunta a un recurso HTTP externo. También conviene vigilar las peticiones salientes del servidor a direcciones desconocidas y el inicio de procesos ajenos.
ActiveMQ ya ha sido objetivo de ataques en otras ocasiones. Las vulnerabilidades CVE-2016-3088 y CVE-2023-46604, que igualmente permitían ejecutar código, fueron incluidas en el catálogo de vulnerabilidades activamente explotadas de la Agencia para la Ciberseguridad y la Seguridad de las Infraestructuras de Estados Unidos.