Nach Angaben von Horizon3 sollten Organisationen, die ActiveMQ betreiben, die Lücke mit hoher Priorität behandeln. Begründung des Unternehmens: ActiveMQ sei wiederholt Ziel realer Angreifer gewesen, und die Methoden zur Ausnutzung sowie für die Phase nach einem erfolgreichen Einbruch seien gut bekannt.

Die Schwachstelle entsteht durch eine unzureichende Eingabevalidierung. Sie erlaubt authentifizierten Angreifern, über Injektionsangriffe beliebigen Code auszuführen. Entdeckt wurde der Fehler von Horizon3-Forscher Naveen Sunkavally, der dabei den KI-Assistenten Claude einsetzte; die Lücke war zuvor 13 Jahre lang unbemerkt geblieben. Behoben wurde sie von den Apache-Maintainern am 30. März in ActiveMQ Classic 6.2.3 und 5.19.4.

Hinweise auf eine Ausnutzung lassen sich laut Horizon3 in den Protokollen des ActiveMQ-Brokers finden. Die Forscher empfehlen, nach auffälligen Broker-Verbindungen zu suchen, die den Abfrageparameter brokerConfig=xbean:http:// sowie das interne Transportprotokoll VM verwenden.

Die CISA ordnete an, dass die zivilen US-Bundesbehörden die betroffenen Server gemäß der Binding Operational Directive (BOD) 22-01 innerhalb von zwei Wochen, bis zum 30. April, absichern müssen. Betreiber sollen die Maßnahmen nach Herstelleranweisung umsetzen, die einschlägigen Vorgaben der BOD 22-01 für Cloud-Dienste befolgen oder das Produkt einstellen, falls keine Gegenmaßnahmen verfügbar sind. Diese Art von Schwachstelle, so die Behörde, sei ein häufiger Angriffsweg und stelle ein erhebliches Risiko für die Bundesverwaltung dar.

Obwohl die BOD 22-01 nur für US-Bundesbehörden gilt, rief die CISA auch Verteidiger in der Privatwirtschaft dazu auf, das Patchen vorrangig zu behandeln und ihre Netzwerke so schnell wie möglich abzusichern. Der Überwachungsdienst Shadowserver verfolgt derzeit mehr als 7.500 öffentlich erreichbare Apache-ActiveMQ-Server.

Bereits zuvor hatte die CISA zwei weitere ActiveMQ-Schwachstellen als aktiv ausgenutzt markiert, geführt unter CVE-2023-46604 und CVE-2016-3088. Die erstgenannte wurde von der Ransomware-Gruppe TellYouThePass als Zero-Day-Lücke angegriffen.