Shadowserver identifie une campagne massive d'exposition d'Apache ActiveMQ
L'organisation de sécurité à but non lucratif Shadowserver a publié des résultats le 21 avril 2026, révélant que plus de 6 400 serveurs de courtier de messages Apache ActiveMQ restent exposés à des attaques orientées vers Internet exploitant une vulnérabilité d'injection de code de haute gravité. L'infrastructure de balayage de l'organisation de recherche a détecté ces instances vulnérables lors d'opérations de chasse aux menaces de routine à travers des plages d'IP mondiales.
Apache ActiveMQ, un courtier de messages open-source largement déployé écrit en Java, sert d'infrastructure middleware critique pour les applications d'entreprise nécessitant une mise en file d'attente de messages fiable et une communication entre systèmes distribués. Les serveurs vulnérables identifiés par Shadowserver représentent une surface d'attaque significative, car ActiveMQ gère généralement des flux de données d'affaires sensibles et maintient un accès réseau privilégié au sein des environnements d'entreprise.
La faille d'injection de code permet aux attaquants distants d'exécuter des commandes arbitraires sur les systèmes affectés sans authentification, transformant ces courtiers de messages en points d'entrée potentiels pour des mouvements latéraux et des exfiltrations de données. La télémétrie de Shadowserver indique que les acteurs de la menace ont commencé à scanner systématiquement et à exploiter ces instances vulnérables d'ActiveMQ, avec des schémas d'attaque cohérents avec à la fois des cybercriminels opportunistes et des groupes de menaces plus sophistiqués.
Les chercheurs en sécurité suivant la campagne rapportent que les tentatives d'exploitation ont augmenté de manière spectaculaire depuis que les détails de la vulnérabilité sont devenus publics. Les attaques impliquent généralement la création de messages malveillants qui contournent les mécanismes de validation d'entrée d'ActiveMQ, permettant aux attaquants d'injecter et d'exécuter des commandes système avec les privilèges du compte de service ActiveMQ. Ce vecteur d'attaque s'avère particulièrement dangereux dans les environnements d'entreprise où ActiveMQ fonctionne souvent avec des permissions élevées pour faciliter la communication inter-systèmes.
La vulnérabilité affecte plusieurs versions d'Apache ActiveMQ, les configurations les plus couramment exploitées impliquant des installations par défaut qui manquent de segmentation réseau appropriée ou de contrôles d'accès. Le catalogue des vulnérabilités exploitées connues de la CISA surveille des failles similaires d'Apache ActiveMQ, indiquant un schéma de ciblage persistant contre l'infrastructure de courtier de messages par des acteurs de la menace cherchant à compromettre les réseaux d'entreprise.
Les déploiements d'ActiveMQ en entreprise font face à un risque d'exposition critique
Les plus de 6 400 serveurs Apache ActiveMQ vulnérables identifiés par Shadowserver s'étendent sur plusieurs secteurs industriels, avec des concentrations significatives dans les services financiers, la santé, la fabrication et les entreprises technologiques qui dépendent fortement du middleware orienté messages pour les opérations critiques pour l'entreprise. Les organisations exécutant des versions d'Apache ActiveMQ antérieures aux derniers correctifs de sécurité courent un risque immédiat, en particulier celles avec des déploiements orientés vers Internet ou une segmentation réseau insuffisante.
Les environnements d'entreprise utilisant ActiveMQ pour l'intégration entre les applications orientées client, les systèmes d'affaires internes et les services cloud représentent les cibles de plus grande valeur pour les attaquants. Ces déploiements traitent souvent des données sensibles, y compris des transactions financières, des dossiers de santé et des informations commerciales propriétaires, ce qui en fait des cibles attrayantes pour les groupes de ransomware et les acteurs étatiques cherchant un accès persistant aux réseaux d'entreprise.
Les petites et moyennes entreprises déployant ActiveMQ via des environnements conteneurisés ou une infrastructure basée sur le cloud font face à des risques supplémentaires en raison de capacités de surveillance de sécurité souvent limitées. Beaucoup de ces organisations manquent d'équipes de sécurité dédiées pour mettre en œuvre des configurations de durcissement appropriées ou surveiller les tentatives d'exploitation, les laissant particulièrement vulnérables aux campagnes d'attaque automatisées ciblant les installations par défaut d'ActiveMQ.
Les agences gouvernementales et les opérateurs d'infrastructures critiques utilisant ActiveMQ pour la communication inter-agences ou l'intégration de systèmes de contrôle industriel font face à des risques accrus en raison du potentiel d'impacts en cascade à travers les systèmes connectés. Les capacités d'exécution de code à distance de la vulnérabilité pourraient permettre aux attaquants de pivoter des courtiers de messages compromis vers des réseaux de technologie opérationnelle sensibles ou des systèmes d'information classifiés.
Étapes de mitigation immédiates pour les administrateurs d'ActiveMQ
Les organisations exécutant Apache ActiveMQ doivent immédiatement mettre à jour vers les dernières versions corrigées et mettre en œuvre des protections au niveau du réseau pour prévenir l'exploitation de la vulnérabilité d'injection de code. Les administrateurs système doivent d'abord identifier toutes les instances d'ActiveMQ au sein de leur environnement en utilisant des outils de découverte réseau et vérifier les numéros de version actuels par rapport aux avis de sécurité d'Apache.
La principale mitigation consiste à mettre à niveau vers la version 5.18.4 ou ultérieure d'Apache ActiveMQ, qui inclut des correctifs pour la faille d'injection de code. Pour les environnements incapables de mettre à niveau immédiatement, les administrateurs doivent mettre en œuvre des contrôles d'accès réseau stricts limitant la connectivité d'ActiveMQ uniquement aux systèmes internes autorisés et supprimant toute exposition orientée vers Internet. Les règles de pare-feu doivent explicitement refuser l'accès externe aux ports par défaut d'ActiveMQ (61616 pour OpenWire, 8161 pour la console web) sauf si absolument nécessaire pour les opérations commerciales.
Les mesures de durcissement supplémentaires incluent la désactivation des fonctionnalités inutiles d'ActiveMQ telles que l'interface de la console web, la mise en œuvre de contrôles d'authentification et d'autorisation pour toutes les connexions de courtier de messages, et la configuration de la journalisation pour capturer des événements détaillés de connexion et de traitement des messages. Les organisations devraient également déployer des solutions de surveillance réseau capables de détecter des schémas de trafic inhabituels ou des tentatives d'injection de commande ciblant l'infrastructure ActiveMQ.
Les équipes de sécurité doivent immédiatement scanner les journaux réseau pour des indicateurs de compromission, y compris des connexions sortantes inattendues depuis les serveurs ActiveMQ, des schémas d'exécution de processus inhabituels, ou un contenu de message suspect pouvant indiquer des tentatives d'exploitation. Les récents rapports de renseignement sur les menaces fournissent un contexte supplémentaire sur les schémas d'attaque et les signatures de détection que les centres d'opérations de sécurité peuvent mettre en œuvre pour identifier les campagnes d'exploitation en cours ciblant l'infrastructure de courtier de messages.
