ثغرة أباتشي أكتيف إم كيو: تحذير أمني عاجل من استغلال نشط

أصدرت وكالة الأمن السيبراني تحذيراً عاجلاً بشأن ثغرة خطيرة في "أباتشي أكتيف إم كيو" يتم استغلالها حالياً من قبل القراصنة لاختراق الأنظمة الحساسة.

ما هي ثغرة أباتشي أكتيف إم كيو (CVE-2026-34197)؟

كشفت تقارير أمنية حديثة عن وجود ثغرة أمنية عالية الخطورة في نظام Apache ActiveMQ Classic، وهو وسيط رسائل مفتوح المصدر واسع الانتشار. الثغرة التي تحمل الرمز CVE-2026-34197 حصلت على تصنيف خطورة يصل إلى 8.8 درجة، مما يعكس مدى التهديد الذي تشكله على البنية التحتية الرقمية للمؤسسات.

ووفقاً لمتابعة تيكبامين، فقد تم إدراج هذه الثغرة ضمن قائمة الثغرات المعروفة التي يتم استغلالها بنشاط (KEV)، وهو ما دفع السلطات الأمنية إلى إلزام الوكالات الحكومية والشركات بضرورة تطبيق التحديثات الأمنية قبل نهاية شهر أبريل الجاري لتجنب مخاطر الاختراق.

كيف يتم استغلال ثغرة Jolokia API في الأنظمة المصابة؟

تتمثل المشكلة الأساسية في سوء التحقق من المدخلات، مما يفتح الباب أمام هجمات "حقن الكود" (Code Injection). يمكن للمهاجمين استدعاء عمليات إدارية عبر واجهة Jolokia API الخاصة بنظام أكتيف إم كيو، وخداع النظام لجلب ملفات إعداد عن بُعد وتنفيذ أوامر برمجية تعسفية على نظام التشغيل.

الأمر الأكثر إثارة للقلق هو أن هذه الثغرة كانت مختبئة في الكود المصدري لمدة تصل إلى 13 عاماً دون اكتشافها. وعلى الرغم من أن الاستغلال يتطلب صلاحيات دخول، إلا أن استخدام بيانات الاعتماد الافتراضية مثل (admin:admin) لا يزال شائعاً جداً في العديد من بيئات العمل، مما يسهل مهمة المخترقين بشكل كبير.

مخاطر إضافية في الإصدارات الحديثة

في بعض إصدارات البرنامج (من 6.0.0 إلى 6.1.1)، لا يتطلب الأمر حتى بيانات اعتماد، وذلك بسبب تداخل مع ثغرة أخرى (CVE-2024-32114) تؤدي إلى كشف واجهة Jolokia API بدون أي مصادقة، مما يحول الثغرة الجديدة إلى هجوم RCE (تنفيذ كود عن بُعد) غير مصادق عليه، وهو الكابوس الأسوأ لفرق الأمن الرقمي.

لماذا يعتبر Apache ActiveMQ هدفاً مفضلاً للمهاجمين؟

يعتبر نظام أباتشي أكتيف إم كيو ركيزة أساسية في خطوط أنابيب البيانات (Data Pipelines) داخل المؤسسات الكبرى، مما يجعل الوصول إليه بوابة لتسريب البيانات الحساسة، أو تعطيل الخدمات الحيوية، أو حتى التحرك جانبياً داخل الشبكة للوصول إلى خوادم أكثر أهمية.

تاريخياً، تعرض هذا النظام لهجمات متكررة، ففي عام 2025 تم استغلال ثغرة سابقة لنشر برمجيات خبيثة على أنظمة لينكس تُعرف باسم DripDropper. ويرى خبراء تيكبامين أن سرعة استجابة القراصنة للثغرات المكتشفة حديثاً أصبحت مذهلة، حيث يتم استهداف الأنظمة في غضون أيام قليلة من الكشف عن الثغرة.

كيف يمكنك حماية مؤسستك وتحديث الأنظمة المتضررة؟

يُنصح مدراء الأنظمة والشركات بضرورة اتخاذ إجراءات فورية لتأمين بيئات العمل الخاصة بهم، وتشمل هذه الإجراءات ما يلي:

• تحديث النظام فوراً: يجب الترقية إلى الإصدارات 5.19.4 أو 6.2.3 التي تعالج هذه المشكلة بشكل نهائي.
• مراجعة نقاط النهاية: فحص جميع عمليات النشر للتأكد من عدم وصول واجهة Jolokia إلى شبكة الإنترنت العامة.
• تقييد الوصول: حصر الوصول إلى واجهات الإدارة داخل الشبكات الموثوقة فقط (VPN أو IP Whitelisting).
• تغيير كلمة المرور: فرض استخدام كلمات مرور قوية ومعقدة بدلاً من البيانات الافتراضية.
• إيقاف Jolokia: في حال عدم الحاجة الفعلية لهذه الواجهة، يُفضل تعطيلها لتقليل مساحة الهجوم المتاحة.

في الختام، يظهر هذا التطور أن الجدول الزمني بين اكتشاف الثغرة واستغلالها من قبل المهاجمين يتقلص باستمرار، مما يضع عبئاً أكبر على فرق تكنولوجيا المعلومات لضمان تحديث الأنظمة قبل وقوع الكارثة.