Die Agentur der Vereinigten Staaten für Cybersicherheit und Infrastruktur ( CISA) warnte in dieser Woche über eine Schwere Schwachstelle in Apache ActiveMQ, die, obwohl Ende März korrigiert, bereits von Angreifern in der realen Welt ausgenutzt wird. Dies ist der überwachte Ausfall als CVE-2026-34197, eine Schwäche, die für mehr als ein Jahrzehnt verborgen blieb und wurde vom Forscher Naveen Sunkavally des Horizon3 Teams enthüllt in einer technischen Veröffentlichung in der er erkennt, dass er den Assistenten von IA Claude als Beihilfe im Untersuchungsprozess eingesetzt hat.
ActiveMQ ist einer der am häufigsten verwendeten Java Messaging Broker für asynchrone Kommunikation zwischen Anwendungen und Systemen in Geschäftsumgebungen. Der identifizierte Ausfall ermöglicht es einem authentifizierten Angreifer, beliebigen Code in betroffenen Fällen einzuleiten und auszuführen, insbesondere durch die Jolokia-Komponente, die HTTP-Administrationsfunktionen freigibt. Apache veröffentlichte am 30. März Korrekturen für die Classic Filialen, speziell in den Versionen 6.2.3 und 5.19.4; sein technischer Bericht ist im offiziellen Sicherheitshinweis von Apache ActiveMQ erhältlich Hier..
Die Dringlichkeit des Problems verstärkte sich, wenn CISA CVE-2026-34197 in die Ein Katalog bekannter und ausgenutzter Schwachstellen (KEV) und einen Zeitraum von zwei Wochen für die US-Bundesbehörden, die Patches anzuwenden, nach den Leitlinien der Bindung Betriebsrichtlinie (BOD) 22-01. Obwohl diese Verpflichtung für den öffentlichen Sektor streng ist, empfehlen die CISA und die Forscher, dass private Organisationen Korrektur als Priorität behandeln.
Sicherheitstracker zeigen bereits ein besorgniserregendes Bild auf der Internetoberfläche. Der ShadowServer Monitoring-Service folgt mehr als 7.500 exponierte ActiveMQ Server, die den Angreifern ein breites Ziel bietet, wenn die Administratoren keine Minderung anwenden. Horizon3, neben der Dokumentation der Betriebstechnik und der Verwendung von IA-Hilfe bei der Suche, zeigt an, dass forensische Teams mit dem BrokerConfig = xbean-Parameter nach verdächtigen Verbindungen in den Broker-Datensätzen suchen können: http: / / / und interner Transport VM als Verpflichtungsindikatoren.
ActiveMQ ist nicht neu auf dem Radar der Angreifer. CISA hatte zuvor andere ActiveMQ Schwachstellen identifiziert, die in realen Umgebungen genutzt wurden, einschließlich CVE-2023-46604 und CVE-2016-3088, die ersten von ihnen verbunden mit Ransomware-Kampagnen, die Vorteile von Fehlern in ungeschützten Servern. Diese Rekursion unterstreicht, warum Manager diesen neuen Defekt schnell ansprechen müssen.
Für Sicherheitsteams und Infrastrukturmanager ist die erste und deutlichste Empfehlung, die von Apache veröffentlichten korrigierten Versionen zu aktualisieren. Wenn ein sofortiges Update nicht durch interne Kompatibilität oder Prozesse möglich ist, bieten Hersteller und Forscher vorübergehende Minderung: die Expositionsfläche des Hafens der Verwaltung reduzieren, deaktivieren oder beschränken Jolokia, wenn es nicht notwendig ist, Firewall-Regeln anwenden, um den Zugriff auf die Management-Schnittstelle nur auf zuverlässige Management-Netzwerke zu beschränken, aktiv überwachen Sie das Protokoll des Brokers auf der Suche nach den oben genannten Indikatoren und überprüfen Konten und Berechtigungen mit Privilegien in den betroffenen Systemen. CISA stellt fest, dass, wenn eine lebensfähige Minderung nicht möglich ist, die Verwendung der betroffenen Ware bis zur Anwendung einer sicheren Lösung unterbrechen sollte.
Jenseits dieser spezifischen Maßnahmen unterstreicht dieser Vorfall wieder zwei strukturelle Probleme des Ökosystems: einerseits die Beharrlichkeit alter Schwachstellen, die jahrelang unentdeckt bleiben können; andererseits die zunehmende Interaktion zwischen Forschern und künstlichen Intelligenz-Tools bei der Suche nach Fehlern, die sowohl die verantwortliche Erkennung als auch potenziell die Fähigkeit von schädlichen Akteuren beschleunigt, Exploits zu entwickeln, wenn die Informationen gefiltert werden. Die öffentliche Notiz von Horizon3 über die Forschungsdetails den technischen Prozess und die Spuren, die überprüft werden sollten und in ihrer Verbreitung konsultiert werden können Hier..
Wenn Sie Dienste verwalten, die von ActiveMQ abhängen, ist es angebracht, sofort zu handeln: die offiziellen Patches anwenden, die Exposition der Broker im Internet prüfen und Nachweiskontrollen über administrative Verbindungen festlegen. Für diejenigen, die für das Risiko verantwortlich sind, ist es eine Erinnerung, dass die Elemente der Messaging-Infrastruktur, die für das tägliche Geschäft oft unsichtbar ist, kritische Eingabevektoren für mehr Auswirkungen Kampagnen werden können.
Um Informationen zu erweitern und Entwicklungen zu verfolgen, ist es nützlich, die Folgen von CISA auf ausgebeutete Schwachstellen zu überprüfen im Katalog KEV die spezifische Mitteilung der Sicherheitszusatz veröffentlicht von der Agentur und die technischen Details und Empfehlungen von Apache in seiner Sicherheitserklärung Hier.. Die Aufrechterhaltung aktueller Systeme und die Steuerung, wer und wie Sie auf Management-Konsolen zugreifen, ist, wie fast immer, die beste Verteidigung.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...