SchwachstellenHackerangriffeCyberkriminalität

13 Jahre versteckt: Kritische RCE-Lücke in Apache ActiveMQ entdeckt

13 Jahre versteckt: Kritische RCE-Lücke in Apache ActiveMQ entdeckt
Zusammenfassung

Eine kritische Sicherheitslücke in Apache ActiveMQ Classic, die sich über 13 Jahre unentdeckt im Quellcode verborgen hat, stellt ein erhebliches Risiko für Unternehmen weltweit dar. Die als CVE-2026-34197 katalogisierte Remote Code Execution-Schwachstelle ermöglicht es Angreifern, über die Jolokia API Verwaltungsoperationen auszuführen und beliebige Systemkommandos auf dem betroffenen Server auszuführen. Besonders besorgniserregend ist die Möglichkeit, diese Lücke mit einer älteren Authentifizierungsmechanismus-Bypass-Schwachstelle (CVE-2024-32114) zu kombinieren, um die Sicherheitsmaßnahmen vollständig zu umgehen. Da Apache ActiveMQ als Middleware-Broker in zahlreichen Branchen zur Verwaltung von Nachrichtenwarteschlangen eingesetzt wird, könnte die Schwachstelle Tausende von Organisationen betreffen. Für deutsche Unternehmen und Behörden, die ActiveMQ-Versionen vor 5.19.4 beziehungsweise 6.2.3 nutzen, besteht dringender Handlungsbedarf. Ein Update auf die bereitgestellten Patch-Versionen wird empfohlen, um eine Kompromittierung unternehmenskritischer Infrastrukturen zu verhindern.

Die neu entdeckte Schwachstelle CVE-2026-34197 ermöglicht es Angreifern, Verwaltungsvorgänge über die Jolokia-API aufzurufen und den ActiveMQ-Broker dazu zu bringen, Remote-Konfigurationsdateien zu laden und Betriebssystembefehle auszuführen. Horizon3.ai zufolge handelt es sich um einen Bypass für die frühere Sicherheitslücke CVE-2022-41678, die es Angreifern erlaubte, Webshells auf die Festplatte zu schreiben.

Die ursprüngliche Behebung von CVE-2022-41678 führte einen Flag ein, der es ermöglichte, alle Operationen auf ActiveMQ MBeans über Jolokia aufzurufen. Die Code-Execution-Schwachstelle wurde jedoch in einer Operation identifiziert, die Broker-zu-Broker-Verbindungen zur Laufzeit einrichtet.

Besonders tückisch ist die Kombination mit ActiveMQs VM-Transport-Feature, das ursprünglich für das Einbetten eines Brokers in einer Anwendung gedacht ist. Wenn ein VM-Transport-URI auf einen nicht existierenden Broker verweist, erstellt ActiveMQ einen neuen und akzeptiert Parameter zum Laden von Konfigurationsdateien — potentiell mit Angreifer-kontrollierten URLs. Durch diese Verkettung können Angreifer den Broker dazu verleiten, eine Spring-XML-Konfigurationsdatei zu laden und auszuführen, was zu Remote-Code-Execution führt.

Eine weitere kritische Komponente ist CVE-2024-32114, eine separate Schwachstelle in ActiveMQ 6.x. Hier wurde der /api/*-Pfad, der den Jolokia-Endpunkt einschließt, versehentlich aus den Sicherheitseinschränkungen der Web-Konsole entfernt. Das bedeutet: Jolokia ist in den Versionen 6.0.0 bis 6.1.1 völlig unauthentifiziert zugänglich. Angreifer können diese Lücke ausnutzen, ohne sich überhaupt authentifizieren zu müssen.

Die Apache Foundation hat Patches für die Sicherheitsmängel in den Versionen ActiveMQ Classic 5.19.4 und 6.2.3 bereitgestellt. Organisationen, die ActiveMQ einsetzen, werden dringend aufgefordert, ihre Systeme schnellstmöglich zu aktualisieren. Für Unternehmen in Deutschland, die auf diese Middleware angewiesen sind, sollte ein Update zur höchsten Priorität werden, um potenzielle Kompromittierungen zu verhindern.

Ähnliche Artikel