Apache ActiveMQ Açıkları ve Tehditler
Son zamanlarda, Shadowserver adlı siber güvenlik kuruluşu, 6,400’den fazla Apache ActiveMQ sunucusunun çevrimiçi olarak savunmasız olduğunu ve bir yüksek öncelikli kod enjeksiyonu açığından etkilenebileceğini tespit etti. Bu durum, hem bireysel kullanıcılar hem de organizasyonlar için ciddi bir güvenlik riski oluşturuyor.
Saldırı Nasıl Çalışıyor?
Belirlenen açık, CVE-2026-34197 kodu ile takip edilmektedir ve Horizon3 araştırmacısı Naveen Sunkavally tarafından 13 yıl sonra keşfedilmiştir. Bu güvenlik açığı, kimliği doğrulanmış kötü niyetli aktörlerin, yamanmamış sistemlerde keyfi kod yürütmesine olanak sağlayan, yanlış giriş doğrulama zafiyetinden kaynaklanmaktadır. Apache geliştiricileri bu açığı, 30 Mart 2026 tarihinde ActiveMQ Classic versiyonları 6.2.3 ve 5.19.4 için yamalamıştır.
Etkilenen Sistemler
Shadowserver’ın yaptığı uyarıya göre, çevrimiçi keşfedilen Apache ActiveMQ parmak izlerine sahip 6.400’den fazla IP adresi, CVE-2026-34197 saldırılarına karşı savunmasızdır. Bu IP adreslerinin coğrafi dağılımı şu şekildedir:
- Asya: 2,925
- Kuzey Amerika: 1,409
- Avrupa: 1,334
Ayrıca, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bu açığın aktif şekilde istismar edildiğini ve Federal Sivil İcra Dairesi (FCEB) ajanslarının 30 Nisan tarihine kadar sunucularını güvence altına alması gerektiğini belirtmiştir.
Çözüm ve Korunma
CISA, şu uyarıda bulundu: “Bu tür zafiyetler, kötü niyetli siber aktörler için sıklıkla bir saldırı vektörü olup federal işletmeler için ciddi riskler taşımaktadır.” Yönetim, aşağıdaki adımların izlenmesini önermektedir:
- Satıcı talimatlarına uygun önlemler uygulayın.
- Bulut hizmetleri için geçerli BOD 22-01 kılavuzunu takip edin.
- Önlemler mümkün değilse, ürünün kullanımını durdurun.
Horizon3 araştırmacıları, yöneticilerin ActiveMQ broker log’larını inceleyerek şüpheli bağlantıları tespit etmelerini önermektedir. Özellikle, iç taşıma protokolü VM’yi kullanan ve brokerConfig=xbean:http:// sorgu parametresi içeren bağlantılara dikkat edilmelidir.
CISA, daha önce CVE-2016-3088 ve CVE-2023-46604 gibi diğer Apache ActiveMQ açıklarının da aktif olarak istismar edildiğini belirtmiştir. Bu nedenle, organizasyonların ActiveMQ sunucularını yüksek öncelikli bir konu olarak ele almaları gerekmektedir.
Sonuç
Sonuç olarak, Apache ActiveMQ kullanan organizasyonların bu güvenlik açığını göz önünde bulundurarak, derhal sistem güncellemelerini yapmaları ve gerektiğinde portları kapatmaları önemlidir. Zafiyetlerin istismar edilme riski yüksek olduğundan, her zaman en son güvenlik yamalarının uygulanması önerilmektedir.
