2026.07.02
重大 RCE 漏洞!企業數據中樞成為攻擊入口?Linux 伺服器淪為駭客跳板?解析 ActiveMQ 事件與資安警訊

在當今高度數位化的企業環境中,「訊息中介軟體(Message Broker)」就像是公司內部的「數據快遞中樞」,不論是金融機構的交易明細、醫療體系的病人病歷,還是製造業的產線指令,都必須透過這個中樞在各個不同的應用程式與伺服器之間傳遞。其中,基於 Java 開發的開源軟體—Apache ActiveMQ 是全球企業,包括金融機構、醫療保健產業、政府機構等,最常使用的快遞中樞之一;然而,這款企業內部不可或缺的核心組件,近期卻成為駭客組織眼中的肥美獵物。

知名威脅情資品牌 TeamT5 的漏洞研究團隊在 2026 年最新報告中發出嚴正警告:偵測到 Apache ActiveMQ 中存在一個代號為 CVE-2026-34197 遠端代碼執行(RCE)嚴重漏洞,且已被高度活躍的中國 APT 組織 SLIME88 積極利用,受害者範圍橫跨美國、韓國、印度、法國等地的 IT 資訊產業與傳統製造業。

test

潛伏 13 年的 RCE 漏洞,結合「組合拳」無密碼攻破防線!

根據相關調查報告,這個被評定為高風險(CVSS 嚴重性評分高達 8.8 分)的 CVE-2026-34197 漏洞,竟然已經在 ActiveMQ 系統中默默潛伏了 13 年之久,而這次之所以能揪出這個隱匿多年的漏洞,源自該公司研究人員首度使用 Anthropic 的 AI 工具 Claude 進行程式碼審查,才讓這個潛伏已久的未爆彈浮出水面,負責維護的 Apache 基金會隨即發布安全公告並釋出修補程式,但駭客的腳步卻比許多企業的修補速度還要快。

這個漏洞屬於「遠端代碼執行(RCE)」類型,問題出在 ActiveMQ 內建的「Jolokia 管理 API」輸入驗證機制不足,簡單來說,駭客不需要實體接觸到伺服器,只要從遠端發送一個精心設計的 HTTP 請求,就能誘騙受害系統主動去駭客的 C2(命令與控制)伺服器載入外部的惡意設定檔(Spring XML),進而在企業系統上執行任意指令,這時,受害主機會因為執行了這個惡意設定檔,將最高控制權拱手讓人。

雖然該漏洞在理論上需要「身分驗證」才能觸發,但在實際企業運作中,往往存在兩大致命痛點:
⚫預設憑證未更改: 許多企業在部署後,管理介面仍沿用系統預設的帳號密碼(如:admin / admin),讓駭客如同走廚房一樣輕鬆登入。

⚫連鎖漏洞組合拳: 如果企業使用的是 ActiveMQ 6.0.0 到 6.1.1 等版本,駭客還能使出「組合拳」,利用另一個漏洞(CVE-2024-32114*)直接繞過身分驗證,不需要任何密碼就能直接存取 Jolokia API,進而發動遠端執行程式碼攻擊。
       * CVE-2024-32114:經典的「路徑權限繞過」漏洞,雖然管理介面鎖著,但駭客利用網址路徑的特殊字元(例如在網址中塞入特定的斜線或編碼),繞過驗證系統的檢查,等同於直接從沒鎖好的後門闖入。

這種「無須密碼、直接遠端控管」的漏洞組合,在駭客眼中簡直是完美的武器,根據 TeamT5 威脅情資團隊的密切追蹤,這波攻擊主要來自具備中國背景的 APT 攻擊組織「SLIME88」,其惡意行動最早可追溯至今年 4 月 7 日漏洞揭露之初,駭客在成功觸發漏洞後,會立即在企業的 Linux 設備中植入一種名為 SoxAgent 的遠端存取木馬(RAT)。


這隻木馬非常狡猾,它平時會靜悄悄地潛伏在 Linux 系統中,將受害主機變成一個 SOCKS5 流量轉發節點,把企業伺服器當成了「跳板」,用來建構名為 GOBLIN14 的 ORB(運作中繼網路)殭屍網路。透過這種手法,駭客在攻擊其他目標時,流量看起來都是從公司的合法 IP 發出,不僅極難被傳統防火牆察覺,更會嚴重損害受害企業的商譽並帶來法律責任。

test

T5 威脅情資解決方案:走在駭客前面的防禦超能力

面對來勢洶洶的 SLIME88 與未知威脅,傳統「被動式」的防毒軟體或特徵碼比對早已捉襟見肘,企業需要的是與原廠技術同步、具備預測與精準獵巫能力的「威脅情資(Threat Intelligence)」解決方案,TeamT5 所提供的 ThreatVision 平台,正是對抗此類高級持續性威脅(APT)的終極利器。


針對本次 ActiveMQ 的 CVE-2026-34197 危機,TeamT5 漏洞研究團隊提出了全方位的防禦與數位鑑識支援:
1. 數位鑑識與威脅獵捕工具(Threat Hunting Tools)

TeamT5 已開發出專屬的日誌解析器(Log Parser),資安人員只要利用這項工具掃描 ActiveMQ Broker 的系統日誌(activemq.log),就能立刻識別出是否含有惡意特徵。例如,駭客觸發漏洞時,日誌中會出現含有 vm:// 以及 ?brokerConfig 的異常 URI 紀錄。


案例軌跡: 若日誌中出現 Establishing network connection from vm://localhost to vm://evil?brokerConfig=xbean:http://.../evil.xml,或是大量出現 Failed to load URL 與 Connection refused 的錯誤訊息(代表受害主機正不斷嘗試向駭客 C2 伺服器連線),防禦人員就能第一時間掌握受駭證據並進行隔離。

2. 即時 IoC(侵入指標)全面阻斷:

所有與 SLIME88、SoxAgent、以及 GOBLIN14 網路相關的惡意 IP(如 103.201.131.121)和惡意網域(如 www.fastsecurey.info),皆已同步至 ThreatVision 的下載頁面。企業可直接將其匯入內部的防火牆或 SIEM 系統,主動攔截與駭客C2 的連線。


3. 每週精選修補管理報告(PMR):

除了大型漏洞專案,TeamT5 威脅研究團隊每週都會發布「修補管理報告(PMR, Patch Management Report)」,篩選出當週全球最危險、最可能被武器化利用的漏洞,並提供具體修補指引,讓資訊團隊能把有限的時間花在最關鍵的刀口上。

立即守護您的企業數位資產

身為 TeamT5 的金融通路夥伴*,我們深知製造業、IT 產業在面對供應鏈安全與伺服器防護時的焦慮,網路防禦是一場與時間賽跑的戰爭,在駭客將您的 Linux 伺服器變成他們的殭屍跳板之前,企業必須採取果斷行動。


針對本次 Apache ActiveMQ 漏洞,我們建議企業客戶執行以下三步驟:

立即修補: 將 ActiveMQ 傳統版(Classic)升級至官方最新釋出的安全性版本(6.2.3 或 5.19.4 以上)。

⬇️

配置強化: 強制更改管理後台的預設憑證,並嚴格限制 Jolokia API(/api/jolokia)與 Web 控制台的存取權限,僅允許特定內網或 VPN 連線。

⬇️

導入情資: 聯繫我們導入 TeamT5 專業情資,全面盤點內網資安盲區。


您想檢測自家系統是否已經存在 SoxAgent 木馬的蹤跡嗎?或者您希望獲取更完整的威脅獵捕工具與每週修補管理報告(PMR)?歡迎立即與我們的資安專家團隊聯繫,我們將為您提供最專業的 TeamT5 產品演示、情資訂閱諮詢以及客製化的資安防護規劃。

*註:橙鋐科技為 TeamT5 金融通路夥伴,銷售範圍依原廠授權規範辦理:苗栗竹南以北限金融產業,苗栗竹南以南全產業適用。