Angreifer attackieren Apache ActiveMQ Broker, Apache ActiveMQ

Derzeit attackieren unbekannte Angreifer die quelloffenen Message Broker Apache ActiveMQ Broker und Apache ActiveMQ und führen Schadcode aus. Dagegen gerüstete Ausgaben stehen zum Download bereit.

Attacken mit und ohne Anmeldung

Auf die Sicherheitslücke (CVE-2026-34197 „hoch“) sind Sicherheitsforscher von Horizon3 gestoßen. In einem Beitrag führen sie aus, dass die Schwachstelle seit 13 Jahren in Apache ActiveMQ Classic schlummert. Die Lücke haben sie eigenen Angaben zufolge unter anderem mit der Hilfe des Claude-LLMs entdeckt.

Der Beschreibung der Lücke zufolge setzen Angreifer an der Jolokia API an, um Konfigurationsdateien abzufangen und Schadcode auszuführen. Dafür muss ein Angreifer aber bereits an Systemen angemeldet sein. Kombiniert ein Angreifer den Forschern zufolge die aktuelle Lücke mit einer älteren Schwachstelle (CVE-2024-32114 „hoch“), sind Attacken ohne Authentifizierung möglich. Demzufolge sollten Admins schnell reagieren.

Systeme vor Attacken schützen

Nun warnt die US-Sicherheitsbehörde Cybersecurtiy & Infrastructure Security Agency (CISA) vor laufenden Attacken. In welchem Umfang die Angriffe ablaufen und wer konkret attackiert wird, ist derzeit nicht bekannt. Die technischen Details zur Lücke erläutern die Sicherheitsforscher in ihrem Beitrag. Dort gibt es weiterführende Informationen zur älteren und aktuellen Sicherheitslücke. Zusätzlich zeigen sie Parameter auf, an denen Admins bereits erfolgreich attackierte Instanzen erkennen können.

In einer Warnmeldung geben die Entwickler an, dass die Ausgaben 5.19.4 und 6.2.3 von Apache ActiveMQ Broker und Apache ActiveMQ gegen die laufenden Angriffe gerüstet sind. Alle vorigen Versionen seien verwundbar.

(des)