SchwachstellenHackerangriffeCyberkriminalität

Apache ActiveMQ: Kritische Schwachstelle nach 13 Jahren entdeckt und aktiv ausgenutzt

Apache ActiveMQ: Kritische Schwachstelle nach 13 Jahren entdeckt und aktiv ausgenutzt
Zusammenfassung

Eine kritische Sicherheitslücke in Apache ActiveMQ gefährdet weltweit tausende Server. Die von der gemeinnützigen Sicherheitsorganisation Shadowserver identifizierte Schwachstelle (CVE-2026-34197) betrifft über 6.400 online erreichbare ActiveMQ-Server und wird derzeit aktiv in Cyberangriffen ausgenutzt. Das Bemerkenswerte: Die Sicherheitslücke existierte 13 Jahre lang unentdeckt, bis ein Forscher sie mit Hilfe von künstlicher Intelligenz fand. Sie ermöglicht authentifizierten Angreifern die Ausführung beliebigen Codes auf nicht gepatchten Systemen. Obwohl Apache die Lücke Ende März geschlossen hat, bleiben tausende Server verwundbar – besonders in Asien, Nordamerika und Europa. Die US-amerikanische Cybersicherheitsbehörde CISA stuft die Schwachstelle als aktiv ausgenutzt ein und forderte föderale Agenturen zur sofortigen Behebung auf. Für deutsche Unternehmen und Behörden, die ActiveMQ einsetzen, bedeutet dies erhöhte Dringlichkeit: Sie müssen ihre Systeme unverzüglich auf die Patch-Versionen 5.19.4 oder 6.2.3 aktualisieren. Experten warnen, dass ActiveMQ wiederholt zum Ziel von Cyberangriffen wurde und Exploitmethoden öffentlich bekannt sind, weshalb Verzögerungen erhebliche Risiken bergen.

Die Entdeckung der Schwachstelle CVE-2026-34197 markiert einen Wendepunkt in der Sicherheitsforschung: Ein dreizehn Jahre alter kritischer Fehler wurde übersehen, bis künstliche Intelligenz ins Spiel kam. Der Fehler beruht auf einer unzureichenden Input-Validierung, die es authentifizierten Angreifern ermöglicht, beliebigen Code einzuschleusen und auszuführen.

Die geografische Verteilung der gefährdeten Server zeigt das globale Ausmaß: Mit 2.925 anfälligen Instanzen dominiert Asien, gefolgt von Nordamerika mit 1.409 und Europa mit 1.334 exponierten Servern. Deutschland liegt dabei in einer sensiblen Position — als Industrienation mit zahlreichen kritischen Infrastrukturen und Unternehmen, die auf Java-basierte Message-Broker angewiesen sind.

Die CISA warnte bereits am Donnerstag vor aktiven Angriffen auf die Lücke und ordnete US-Bundesbehörden an, ihre Server bis zum 30. April zu sichern. Die Agentur betonte, dass dieser Vulnerability-Typ ein häufig genutzter Angriffsvektor für Cyberkriminelle darstellt und “erhebliche Risiken für die föderale Unternehmenslandschaft” birgt.

Für Administrator*innen empfehlen Horizon3-Forscher, die ActiveMQ-Broker-Protokolle nach Anzeichen von Exploitations-Versuchen zu durchsuchen. Besonderes Augenmerk sollte auf verdächtige Broker-Verbindungen gelten, die das interne VM-Transportprotokoll und den Parameter brokerConfig=xbean:http:// nutzen.

Dies ist nicht das erste Mal, dass Apache ActiveMQ ins Fadenkreuz von Cyberkriminellen gerät. In den vergangenen Jahren wurden die Schwachstellen CVE-2016-3088 und CVE-2023-46604 aktiv ausgenutzt. Letztere wurde sogar von der Ransomware-Gang TellYouThePass als Zero-Day-Exploit missbraucht.

Horizon3 unterstreicht die Dringlichkeit: “Wir empfehlen Organisationen, die ActiveMQ betreiben, dies als höchste Priorität zu behandeln. ActiveMQ ist wiederholt Ziel echter Angreifer geworden, und die Methoden zur Ausnutzung sind wohlbekannt.”

Apache hat Patches für die Versionen 5.19.4 und 6.2.3 am 30. März bereitgestellt. Unternehmen und Behörden sollten sofort prüfen, ob ActiveMQ in ihrer Infrastruktur läuft, und Updates durchführen oder, falls keine Mitigationen verfügbar sind, die Nutzung einstellen.

Ähnliche Artikel