Apache ActiveMQ je middleware, který používají tisíce firem a organizací po celém světě — a třináct let v něm skrytě existovala chyba umožňující útočníkovi převzít plnou kontrolu nad serverem. Odhalil ji výzkumník z bezpečnostní firmy Horizon3.ai s pomocí AI asistenta Claude — a celý proces trval jen několik minut.
Co je Apache ActiveMQ a koho se to týká
Apache ActiveMQ je open-source software, který slouží jako takzvaný message broker — zprostředkovatel komunikace mezi různými aplikacemi a službami. Používají ho banky, nemocnice, e-shopy i průmyslové systémy. V České republice patří k oblíbeným nástrojům v podnikovém prostředí, takže zpráva o kritické zranitelnosti se rozhodně týká i tuzemských správců systémů.
Jak zranitelnost funguje
Chyba dostala označení CVE-2026-34197 a skóre závažnosti 8,8 z 10. Leží v rozhraní Jolokia, které ActiveMQ nabízí pro vzdálenou správu přes HTTP. Útočník, který má přístup k tomuto rozhraní, může serveru podstrčit odkaz na speciálně připravený konfigurační soubor. Jakmile server soubor načte, automaticky spustí kód, který v něm útočník připravil — a to s právy samotného serveru. Zákeřné na celé situaci je, že každá ze zapojených komponent funguje správně sama o sobě; nebezpečí vzniká teprve jejich kombinací.
Jak pomohlo AI
Bezpečnostní výzkumník Naveen Sunkavally ze společnosti Horizon3.ai popsal objev jako „z 80 % dílo Claudea.“ Výzkumník sám by musel složitě procházet dokumentaci a kód čtyř vzájemně provázaných subsystémů — Jolokia, JMX, síťové konektory a VM transport. Claude zvládl tento průzkum v řádu minut a propojil jednotlivé části do funkčního útočného řetězce. Jde o jeden z prvních veřejně zdokumentovaných případů, kdy AI pomohl odhalit závažnou zranitelnost v aktivně udržovaném projektu.
Co se stalo po odhalení
Výzkumník nahlásil chybu vývojářům Apache 22. března 2026. Záplata byla vydána 30. března — tedy za pouhých osm dní. Opravené verze jsou ActiveMQ Classic 5.19.4 a 6.2.3. Za určitých podmínek je zranitelnost zneužitelná i bez přihlášení, a to v kombinaci s dřívější chybou CVE-2024-32114, která se týká verzí 6.0.0 až 6.1.1.
Praktický tip
Správci systémů by měli okamžitě ověřit, jakou verzi ActiveMQ provozují, a v případě potřeby aktualizovat na 5.19.4 nebo 6.2.3. Pokud aktualizace není momentálně možná, pomůže omezit přístup k Jolokia API pouze na důvěryhodné adresy nebo ho dočasně vypnout.
Případ ukazuje, že AI se stává plnohodnotným nástrojem bezpečnostního výzkumu — a je jen otázkou času, kdy ho začnou ve větší míře využívat i útočníci.
Zdroj: BleepingComputer