Die amerikanische Cybersicherheitsbehörde CISA schlägt Alarm: Eine schwerwiegende Sicherheitslücke in Apache ActiveMQ wird bereits von Hackern angegriffen. Die Anfälligkeit CVE-2026-34197 wurde am 30. März gepatcht und wartet nun mit einer düsteren Überraschung auf: Sie war 13 Jahre lang im Code vorhanden, ohne dass jemand sie bemerkte.
Die Entdeckung gelang Sicherheitsforscher Naveen Sunkavally von Horizon3, der dabei Unterstützung durch den KI-Assistenten Claude erhielt. Das Sicherheitsloch basiert auf mangelhafter Eingabevalidierung und ermöglicht authentifizierten Angreifern, beliebigen Code einzuschleusen. Für Apache ActiveMQ Classic wurden die Versionen 5.19.4 und 6.2.3 mit Patches ausgestattet.
Das Problem wiegt schwer: Sicherheitsbeobachter registrieren derzeit über 7.500 exponierte ActiveMQ-Server weltweit im Internet. Horizon3 warnt unmissverständlich: “ActiveMQ ist immer wieder Ziel von echten Angreifern geworden. Exploitationsmethoden und Post-Exploitation-Techniken sind gut dokumentiert.” Das Unternehmen empfiehlt, verdächtige Broker-Verbindungen mit dem Parameter brokerConfig=xbean:http:// und dem VM-Transportprotokoll in den Logs zu suchen.
CISA hat CVE-2026-34197 in seinen Katalog der aktiv ausgebeuteten Schwachstellen aufgenommen. Für amerikanische Bundesbehörden gilt eine Zwei-Wochen-Frist bis 30. April zur Behebung des Problems. Allerdings adressiert die Anordnung auch den privaten Sektor: CISA fordert alle Organisationen dringend auf, sobald wie möglich zu patchen.
Für deutsche Unternehmen ist Eile geboten. Wer ActiveMQ betreibt, sollte sofort überprüfen, welche Versionen eingesetzt werden, und die Patches einspielen. Die Behörde weist auch auf verwandte Schwachstellen hin: CVE-2023-46604 und CVE-2016-3088 wurden bereits von Ransomware-Gruppen wie TellYouThePass ausgenutzt. Die Kombination aus alter Schwachstelle, breiter Verbreitung und bekannten Angriffsmethoden macht CVE-2026-34197 zu einer ernsthaften Bedrohung für die IT-Infrastruktur.