Una falla de seguridad de alta gravedad recientemente revelada en Apache ActiveMQ Classic ha sido objeto de explotación activa en la naturaleza, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).

Para ello, la agencia ha agregado la vulnerabilidad, rastreada como CVE-2026-34197 (Puntuación CVSS: 8,8), a sus vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 30 de abril de 2026.

CVE-2026-34197 se ha descrito como un caso de validación de entrada incorrecta que podría provocar la inyección de código, lo que permitiría efectivamente a un atacante ejecutar código arbitrario en instalaciones susceptibles. Según Naveen Sunkavally de Horizon3.ai, CVE-2026-34197 ha estado «escondido a plena vista» durante 13 años.

«Un atacante puede invocar una operación de administración a través de la API Jolokia de ActiveMQ para engañar al corredor para que obtenga un archivo de configuración remoto y ejecute comandos arbitrarios del sistema operativo», agregó Sunkavally.

«La vulnerabilidad requiere credenciales, pero las credenciales predeterminadas (admin:admin) son comunes en muchos entornos. En algunas versiones (6.0.0–6.1.1), no se requieren credenciales debido a otra vulnerabilidad, CVE-2024-32114, que expone inadvertidamente la API de Jolokia sin autenticación. En esas versiones, CVE-2026-34197 es efectivamente un RCE no autenticado».

la vulnerabilidad impactos las siguientes versiones –

• Agente Apache ActiveMQ (org.apache.activemq:activemq-broker) anterior a 5.19.4
• Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 6.0.0 anterior a 6.2.3
• Apache ActiveMQ (org.apache.activemq:activemq-all) anterior a 5.19.4
• Apache ActiveMQ (org.apache.activemq:activemq-all) 6.0.0 anterior a 6.2.3

Se recomienda a los usuarios que actualicen a la versión 5.19.4 o 6.2.3, que soluciona el problema. Actualmente no hay detalles sobre cómo se está explotando CVE-2026-34197 en la naturaleza, pero SAFE Security, en un informe publicado esta semana, reveló que los actores de amenazas están apuntando activamente a los puntos finales de administración de Jolokia expuestos en implementaciones de Apache ActiveMQ Classic.

Los hallazgos demuestran una vez más que los plazos de explotación continúan colapsando a medida que los atacantes se abalanzan sobre las vulnerabilidades recientemente reveladas a un ritmo alarmantemente más rápido y violan los sistemas antes de que puedan ser parcheados.

Apache ActiveMQ es un objetivo popular de ataque, con fallas en el intermediario de mensajes de código abierto explotadas repetidamente en varias campañas de malware desde 2021. En agosto de 2025, actores desconocidos utilizaron como arma una vulnerabilidad crítica en ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para lanzar un malware de Linux llamado DripDropper.

«Dado el papel de ActiveMQ en la mensajería empresarial y los canales de datos, las interfaces de gestión expuestas presentan un riesgo de alto impacto, lo que potencialmente permite la filtración de datos, la interrupción del servicio o el movimiento lateral», SAFE Security dicho. «Las organizaciones deben auditar todas las implementaciones para los puntos finales de Jolokia accesibles externamente, restringir el acceso a redes confiables, imponer una autenticación sólida y desactivar Jolokia cuando no sea necesario».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes agregado una falla de seguridad crítica que afecta al Administrador de políticas de acceso (APM) de F5 BIG-IP a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

La vulnerabilidad en cuestión es CVE-2025-53521 (Puntuación CVSS v4: 9,3), lo que podría permitir a un actor de amenazas lograr la ejecución remota de código.

«Cuando se configura una política de acceso BIG-IP APM en un servidor virtual, el tráfico malicioso específico puede conducir a la ejecución remota de código (RCE)», según una descripción de la falla en CVE.org.

Si bien la deficiencia fue inicialmente categorizada y remediada como una vulnerabilidad de denegación de servicio (DoS) con una puntuación CVSS v4 de 8,7, F5 dijo que ha sido reclasificada como un caso de RCE a la luz de «nueva información obtenida en marzo de 2026».

La empresa desde entonces actualizado su aviso para confirmar que la vulnerabilidad «ha sido explotada en las versiones vulnerables de BIG-IP». No compartió ningún detalle adicional sobre quién puede estar detrás de la actividad de explotación.

Sin embargo, F5 compartió un número de indicadores que se puede utilizar para evaluar si el sistema ha sido comprometido –

• Indicadores relacionados con archivos –
  • Presencia de /run/bigtlog.pipe y/o /run/bigstart.ltm.
  • No coinciden los hashes de archivos en comparación con versiones buenas conocidas de /usr/bin/umount y/o /usr/sbin/httpd.
  • No coinciden los tamaños de archivos o las marcas de tiempo en comparación con versiones buenas y conocidas de /usr/bin/umount y/o /usr/sbin/httpd.
  • Cada versión y EHF pueden tener diferentes tamaños de archivo y marcas de tiempo.
• Indicadores relacionados con registros –
  • Una entrada en «/var/log/restjavad-audit..log» que muestra a un usuario local accediendo a la API REST de iControl desde localhost.
  • Una entrada en «/var/log/auditd/audit.log.«que muestra a un usuario local accediendo a la API REST de iControl desde localhost para desactivar SELinux.
  • Los mensajes de registro en «/var/log/audit» muestran los resultados de un comando que se ejecuta en el registro de auditoría.
• Otros TTP observados incluyen:
  • Modificaciones a los componentes subyacentes que el verificador de integridad del sistema, sys-eicheckse basa, lo que resulta en una falla de la herramienta, específicamente /usr/bin/umount y/o /usr/sbin/httpd, lo que indica cambios inesperados en el software del sistema como se mencionó anteriormente.
  • Tráfico HTTP/S del sistema BIG-IP que contiene códigos de respuesta HTTP 201 y tipo de contenido CSS para disfrazar las actividades del atacante.
  • Cambios en los siguientes tres archivos, aunque su presencia por sí sola no indica un problema de seguridad:
    • /var/sam/www/webtop/renderer/apm_css.php3
    • /var/sam/www/webtop/renderer/full_wt.php3
    • /var/sam/www/webtop/renderer/webtop_popup_css.php3

«Hemos observado casos en los que webshell se escribe en el disco; sin embargo, se ha observado que los webshells funcionan sólo en la memoria, lo que significa que los archivos enumerados anteriormente podrían no modificarse», advirtió F5.

El problema afecta a las siguientes versiones:

• 17.5.0 – 17.5.1 (Corregido en la versión 17.5.1.3)
• 17.1.0 – 17.1.2 (Corregido en la versión 17.1.3)
• 16.1.0 – 16.1.6 (Corregido en la versión 16.1.6.1)
• 15.1.0 – 15.1.10 (Corregido en la versión 15.1.10.8)

A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 30 de marzo de 2026 para aplicar las correcciones para proteger sus redes.

«Cuando F5 CVE-2025-53521 surgió por primera vez el año pasado como un problema de denegación de servicio, no indicó inmediatamente urgencia, y muchos administradores de sistemas probablemente le dieron prioridad en consecuencia», dijo el CEO y fundador de watchTowr, Benjamin Harris, en un comunicado compartido con The Hacker News.

«Avanzando rápidamente hasta el gran momento de hoy: la situación ha cambiado significativamente. Lo que estamos observando ahora es la ejecución remota de código previo a la autenticación y evidencia de explotación en estado salvaje, con una lista CISA KEV para respaldarlo. Ese es un perfil de riesgo muy diferente al que se comunicó inicialmente».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes agregado cinco fallas de seguridad que afectan a Apple, Craft CMS y Laravel Livewire hasta sus vulnerabilidades explotadas conocidas (KEV) catálogo, instando a las agencias federales a parchearlos antes del 3 de abril de 2026.

Las vulnerabilidades que han sido objeto de explotación se enumeran a continuación:

• CVE-2025-31277 (Puntuación CVSS: 8,8): una vulnerabilidad en Apple WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados. (Corregido en julio de 2025)
• CVE-2025-43510 (Puntuación CVSS: 7,8): una vulnerabilidad de corrupción de memoria en el componente del kernel de Apple que podría permitir que una aplicación maliciosa provoque cambios inesperados en la memoria compartida entre procesos. (Corregido en diciembre de 2025)
• CVE-2025-43520 (Puntuación CVSS: 8,8): una vulnerabilidad de corrupción de memoria en el componente del kernel de Apple que podría permitir que una aplicación maliciosa cause una terminación inesperada del sistema o escriba en la memoria del kernel. (Corregido en diciembre de 2025)
• CVE-2025-32432 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de código en Craft CMS que podría permitir a un atacante remoto ejecutar código arbitrario. (Corregido en abril de 2025)
• CVE-2025-54068 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección de código en Laravel Livewire que podría permitir a atacantes no autenticados lograr la ejecución remota de comandos en escenarios específicos. (Corregido en julio de 2025)

La incorporación de las tres vulnerabilidades de Apple al catálogo KEV se produce a raíz de informes de Google Threat Intelligence Group (GTIG), iVerify y Lookout sobre un kit de explotación de iOS con nombre en código DarkSword que aprovecha estas deficiencias, junto con tres errores, para implementar varias familias de malware como GHOSTBLADE, GHOSTKNIFE y GHOSTSABER para el robo de datos.

Se considera que CVE-2025-32432 ha sido explotado como día cero por actores de amenazas desconocidos desde febrero de 2025, según Orange Cyberdefense SensePost. Desde entonces, también se ha observado un conjunto de intrusiones rastreado como Mimo (también conocido como Hezb) que explota la vulnerabilidad para implementar un minero de criptomonedas y un proxy residencial.

Completando la lista está CVE-2025-54068, cuya explotación fue señalada recientemente por el equipo Ctrl-Alt-Intel Threat Research como parte de ataques organizados por el grupo de hackers patrocinado por el estado iraní, MuddyWater (también conocido como Boggy Serpens).

En un informe publicado a principios de esta semana, la Unidad 42 de Palo Alto Networks denunció los constantes ataques del adversario a infraestructuras diplomáticas y críticas, incluidas las energéticas, marítimas y financieras, en todo el Medio Oriente y otros objetivos estratégicos en todo el mundo.

«Si bien la ingeniería social sigue siendo su característica distintiva, el grupo también está aumentando sus capacidades tecnológicas», Unidad 42 dicho. «Su diverso conjunto de herramientas incluye implantes de malware mejorados con IA que incorporan técnicas antianálisis para una persistencia a largo plazo. Esta combinación de ingeniería social y herramientas de rápido desarrollo crea un perfil de amenaza potente».

«Para respaldar sus campañas de ingeniería social a gran escala, Boggy Serpens utiliza una plataforma de orquestación basada en web hecha a medida», dijo la Unidad 42. «Esta herramienta permite a los operadores automatizar la entrega masiva de correos electrónicos mientras mantienen un control granular sobre las identidades de los remitentes y las listas de objetivos».

Atribuido al Ministerio de Inteligencia y Seguridad de Irán (MOIS), el grupo se centra principalmente en el ciberespionaje, aunque también se le ha vinculado con operaciones disruptivas dirigidas al Instituto de Tecnología Technion de Israel mediante la adopción del personaje del ransomware DarkBit.

Una de las características distintivas del oficio de MuddyWater ha sido el uso de cuentas secuestradas pertenecientes a entidades gubernamentales y corporativas oficiales en sus ataques de phishing, y el abuso de relaciones de confianza para evadir sistemas de bloqueo basados ​​en reputación y distribuir malware.

En una campaña sostenida dirigida a una empresa nacional de energía y marina no identificada en los Emiratos Árabes Unidos entre el 16 de agosto de 2025 y el 11 de febrero de 2026, se dice que el actor de amenazas llevó a cabo cuatro oleadas distintas de ataques, lo que llevó al despliegue de varias familias de malware, incluidos GhostBackDoor y Nuso (también conocido como HTTP_VIP). Algunas de las otras herramientas notables en el arsenal del actor de amenazas incluyen UDPGangster y LampoRAT (también conocido como CHAR).

«La actividad reciente de Boggy Serpens ejemplifica un perfil de amenaza en proceso de maduración, ya que el grupo integra sus metodologías establecidas con mecanismos refinados para la persistencia operativa», dijo la Unidad 42. «Al diversificar su proceso de desarrollo para incluir lenguajes de codificación modernos como Rust y flujos de trabajo asistidos por IA, el grupo crea vías paralelas que garantizan la redundancia necesaria para mantener un ritmo operativo alto».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el jueves agregado dos fallas de seguridad que afectan los productos de Hikvision y Rockwell Automation a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

Las vulnerabilidades de gravedad crítica se enumeran a continuación:

• CVE-2017-7921 (Puntuación CVSS: 9,8): una vulnerabilidad de autenticación inadecuada que afecta a múltiples productos Hikvision y que podría permitir a un usuario malintencionado escalar privilegios en el sistema y obtener acceso a información confidencial.
• CVE-2021-22681 (Puntuación CVSS: 9,8): una vulnerabilidad de credenciales insuficientemente protegidas que afecta a múltiples controladores Rockwell Automation Studio 5000 Logix Designer, RSLogix 5000 y Logix que podría permitir que un usuario no autorizado con acceso a la red del controlador omita el mecanismo de verificación y se autentique con él, así como también altere su configuración y/o código de aplicación.

La incorporación de CVE-2017-7921 al catálogo KEV se produce más de cuatro meses después de que SANS Internet Storm Center revelara que había detectado intentos de explotación contra cámaras Hikvision susceptibles a la falla. Sin embargo, no parece haber ningún informe público que describa los ataques que involucren a CVE-2021-22681.

A la luz de la explotación activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) actualizar a las últimas versiones de software compatibles antes del 26 de marzo de 2026, como parte de Directiva operativa vinculante (DBO) 22-01.

«Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y plantean riesgos significativos para la empresa federal», dijo CISA.

«Aunque BOD 22-01 solo se aplica a las agencias FCEB, CISA insta encarecidamente a todas las organizaciones a reducir su exposición a ataques cibernéticos priorizando la remediación oportuna de las vulnerabilidades del Catálogo KEV como parte de su práctica de gestión de vulnerabilidades».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado una falla de seguridad recientemente revelada que afecta las operaciones de Broadcom VMware Aria a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando explotación activa en la naturaleza.

La vulnerabilidad de alta gravedad, CVE-2026-22719 (Puntuación CVSS: 8,1), se ha descrito como un caso de inyección de comandos que podría permitir que un atacante no autenticado ejecute comandos arbitrarios.

«Un actor malicioso no autenticado puede aprovechar este problema para ejecutar comandos arbitrarios, lo que puede llevar a la ejecución remota de código en VMware Aria Operations mientras se realiza la migración de productos asistida por soporte», dijo la compañía. dicho en un aviso publicado a finales del mes pasado.

La deficiencia se solucionó, junto con CVE-2026-22720, una vulnerabilidad de secuencias de comandos entre sitios almacenados, y CVE-2026-22721, una vulnerabilidad de escalada de privilegios que podría resultar en acceso administrativo. Afecta a los siguientes productos:

• VMware Cloud Foundation y VMware vSphere Foundation 9.xxx: corregido en 9.0.2.0
• Operaciones de VMware Aria 8.x: corregido en 8.18.6

Los clientes que no puedan aplicar el parche inmediatamente pueden descargar y ejecutar un script de shell («aria-ops-rce-workaround.sh») como raíz de cada nodo del dispositivo virtual de operaciones Aria.

Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad en la naturaleza, quién está detrás de ella y la escala de dichos esfuerzos.

«Broadcom está al tanto de los informes sobre una posible explotación de CVE-2026-22719 en estado salvaje, pero no podemos confirmar de forma independiente su validez», señaló la compañía en una actualización de su boletín.

A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones antes del 24 de marzo de 2026.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado cuatro fallas de seguridad en sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa en la naturaleza.

La lista de vulnerabilidades es la siguiente:

• CVE-2026-2441 (Puntuación CVSS: 8,8): una vulnerabilidad de uso después de la liberación en Google Chrome que podría permitir a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada.
• CVE-2024-7694 (Puntuación CVSS: 7,2) – Un vulnerabilidad de carga de archivos arbitrarios en TeamT5 ThreatSonar Anti-Ransomware versiones 3.4.5 y anteriores que podrían permitir a un atacante cargar archivos maliciosos y lograr la ejecución arbitraria de comandos del sistema en el servidor.
• CVE-2020-7796 (Puntuación CVSS: 9,8): una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Synacor Zimbra Collaboration Suite (ZCS) que podría permitir a un atacante enviar una solicitud HTTP diseñada a un host remoto y obtener acceso no autorizado a información confidencial.
• CVE-2008-0015 (Puntuación CVSS: 8,8): una vulnerabilidad de desbordamiento de búfer basada en pila en el control ActiveX de vídeo de Microsoft Windows que podría permitir a un atacante lograr la ejecución remota de código mediante la configuración de una página web especialmente diseñada.

La adición de CVE-2026-2441 al catálogo KEV se produce días después de que Google reconociera que «existe un exploit para CVE-2026-2441 en la naturaleza». Actualmente no se sabe cómo se está utilizando la vulnerabilidad como arma, pero dicha información generalmente se retiene hasta que la mayoría de los usuarios se actualizan con una solución para evitar que otros actores de amenazas se unan al tren de la explotación.

En cuanto a CVE-2020-7796, un informe publicado por la firma de inteligencia sobre amenazas GreyNoise en marzo de 2025 reveló que un grupo de aproximadamente 400 direcciones IP estaba explotando activamente múltiples vulnerabilidades SSRF, incluida CVE-2020-7796, para atacar instancias susceptibles en EE. UU., Alemania, Singapur, India, Lituania y Japón.

«Cuando un usuario visita una página web que contiene un exploit detectado como Exploit:JS/CVE-2008-0015, puede conectarse a un servidor remoto y descargar otro malware», Microsoft notas en su enciclopedia de amenazas. También dijo que tiene conocimiento de casos en los que el exploit se utiliza para descargar y ejecutar perroun gusano que se propaga a través de unidades extraíbles.

El gusano viene con capacidades para recuperar y ejecutar binarios adicionales, sobrescribir ciertos archivos del sistema, finalizar una larga lista de procesos relacionados con la seguridad e incluso reemplazar el archivo Hosts de Windows en un intento de evitar que los usuarios accedan a sitios web asociados con programas de seguridad.

Actualmente no está claro cómo se explota la vulnerabilidad TeamT5 ThreatSonar Anti-Ransomware. Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones necesarias antes del 10 de marzo de 2026 para una protección óptima.

Actualizar

en un publicación de seguimiento Publicado el 22 de febrero de 2026, TeamT5 dijo que la vulnerabilidad se relaciona con un problema identificado en 2024 y que desde entonces todos los clientes afectados han migrado desde versiones vulnerables de su producto ThreatSonar Anti-Ransomware.

La compañía de seguridad taiwanesa dijo que desde entonces ha mejorado su ciclo de vida de desarrollo de software seguro y sus controles de seguridad de productos, así como procesos estandarizados de respuesta a incidentes internos y gestión de vulnerabilidades.

(La historia se actualizó después de la publicación para incluir detalles de TeamT5).