SchwachstellenHackerangriffeCyberkriminalität

Apache ActiveMQ: Kritische Sicherheitslücke wird aktiv ausgenutzt — Patch bis April erforderlich

Apache ActiveMQ: Kritische Sicherheitslücke wird aktiv ausgenutzt — Patch bis April erforderlich
Zusammenfassung

Eine neue kritische Sicherheitslücke in Apache ActiveMQ Classic wird bereits aktiv ausgenutzt und hat die Aufmerksamkeit der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) auf sich gezogen. Die als CVE-2026-34197 bezeichnete Schwachstelle mit einem CVSS-Score von 8,8 ermöglicht es Angreifern, beliebigen Code auf anfälligen Systemen auszuführen. Das Besondere: Die Verwundbarkeit existiert bereits seit 13 Jahren unentdeckt. Durch improper Input Validation können Angreifer über die Jolokia-API des Brokers Remote-Konfigurationsdateien laden und beliebige Betriebssystembefehle ausführen. Besonders besorgniserregend ist, dass viele Installationen die Standard-Zugangsdaten (admin:admin) verwenden, und in bestimmten Versionen ist sogar keine Authentifizierung erforderlich. Die CISA hat die Lücke in ihren Katalog der aktiv ausgebeuteten Schwachstellen aufgenommen und verlangt von Bundesbehörden, die Patches bis Ende April 2026 einzuspielen. Für deutsche Unternehmen und Behörden, die Apache ActiveMQ einsetzen, besteht dringender Handlungsbedarf: Sie sollten sofort auf die korrigierten Versionen 5.19.4 oder 6.2.3 aktualisieren und ihre Systeme auf extern zugängliche Jolokia-Endpunkte prüfen.

Die Schwachstelle CVE-2026-34197 wird von Sicherheitsforschern als kritisch eingestuft und betrifft mehrere Versionen von Apache ActiveMQ. Die Lücke basiert auf unzureichender Eingabevalidierung und ermöglicht Code-Injection-Attacken. Das besondere Risiko liegt darin, dass Angreifer über Jolokia — eine Management-API des Message Brokers — auf dem System beliebige Befehle ausführen können, indem sie den Broker dazu bringen, externe Konfigurationsdateien zu laden und auszuführen.

Naveen Sunkavally von Horizon3.ai warnt: “Die Lücke war 13 Jahre lang im Code verborgen.” Zwar erfordert die Ausnutzung normalerweise Anmeldedaten, doch hier liegt das Problem in der Praxis: Viele ActiveMQ-Installationen nutzen die Standard-Credentials (admin:admin), die nie geändert wurden. Noch kritischer wird es bei älteren Versionen 6.0.0 bis 6.1.1: Dort ermöglicht die zusätzliche Schwachstelle CVE-2024-32114, dass die Jolokia-API ohne jegliche Authentifizierung zugänglich ist. In diesem Fall wird CVE-2026-34197 zu einer unauthentifizierten Remote Code Execution (RCE) — dem schlimmstmöglichen Szenario.

Betroffen sind die Versionen bis 5.18.x (einschließlich) und 6.0.0 bis 6.2.2. Apache empfiehlt, auf Version 5.19.4 oder 6.2.3 zu aktualisieren. Besonders besorgniserregend ist die aktuelle Ausnutzungssituation: Sicherheitsfirma SAFE Security berichtet, dass Bedrohungsakteure bereits gezielt nach exponierten Jolokia-Endpunkten suchen und diese angreifen.

Dies ist nicht die erste kritische Lücke in ActiveMQ. Im August 2025 wurde CVE-2023-46604 mit einem perfekten CVSS-Score von 10,0 von Angreifern ausgenutzt, um die Linux-Malware DripDropper zu verbreiten. Das zeigt ein beunruhigendes Muster: ActiveMQ-Flaws werden schnell und aggressiv angegriffen.

Für deutsche Unternehmen heißt das: Sofortige Maßnahmen sind erforderlich. Alle ActiveMQ-Deployments sollten überprüft werden, um zu klären, ob Jolokia-Endpunkte vom Internet erreichbar sind. Kritisch ist auch die Überprüfung aller Authentifizierungsmechanismen. Starke Passwörter müssen durchgesetzt, Standarddaten geändert und Jolokia wenn möglich deaktiviert werden. Eine Netzwerk-Isolation ist unverzichtbar — der Zugang sollte auf vertrauenswürdige Systeme beschränkt sein. Der Patch muss priorisiert werden.

Ähnliche Artikel