Die Sicherheitsgemeinschaft hat gerade einen kritischen Fehler in Apache ActiveMQ Classic entdeckt, der seit mehr als einem Jahrzehnt nicht erkannt wurde und Remotebefehle in den betroffenen Systemen ausführen kann. Dies ist eine Schwachstelle, die als CVE-2026-34197, mit einem hohen Gravitations-Score (8.8), die ActiveMQ Classic-Versionen vor 5.19.4 und alle Ausgaben zwischen 6.0.0 und 6.2.3 bis zur Korrektur beeinflusst.
ActiveMQ ist ein Open Source Nachrichten Korridor geschrieben in Java und weit verbreitet in Business-Infrastruktur, Web Backends und Regierungsumgebungen verwendet, um asynchrone Kommunikation durch Schwänze und Themen zu verwalten. Obwohl es eine modernere Branche namens Artemis gibt, bleibt die "Classic"-Edition weit verbreitet, und diese Schwachstelle hat eine wichtige Reichweite in realen Umgebungen.
Das Auffallen dieser Erkenntnis ist nicht nur die Langlebigkeit des Scheiterns, sondern das Werkzeug, das dazu beigetragen hat, die Ausbeutungsroute zu identifizieren: der Assistent der IA Claude. Horizon3 Forscher Naveen Sunkavally erklärt, dass er durch einige Hinweise auf die IA eine Angriffskette erhalten konnte, die mehrere Produktfunktionalitäten verbindet. Wie oben beschrieben, wurde der größte Teil der Arbeit von der IA produziert und dann von der Forschungsperson verfeinert, was zeigt, wie Modelle Interaktionen zwischen Komponenten erkennen können, die traditionelle Analysen übersehen.
Der technische Vektor nutzt die Jolokia Management API auf ActiveMQ. Diese API stellt eine Operation des Brokers (addNetworkConnector) vor, der zusammen mit bestimmten Remote-Load-Konfigurationsoptionen eine Spring XML-Datei von einem vom Angreifer gesteuerten Ort herunterladen kann. Während der Initialisierung dieses externen Konfigurations-Systemcodes kann ausgeführt werden, was zur Remote-Befehlsausführung führt. Horizon3 beschreibt diesen Fluss und die damit verbundenen Risiken in seinem technischen Bericht, der weitere Details zu Ausfallmechanik und anfänglichen Empfehlungen enthält: Bericht Horizon3.
Es gibt auch eine verschlimmernde Tatsache: Obwohl die Operation grundsätzlich eine Authentifizierung über Jolokia erfordert, ist in bestimmten Versionen (insbesondere ActiveMQ 6.0.0 bis 6.1.1) die Zugangsbarriere durch einen separaten Ausfall geöffnet worden, CVE-2024-32114 die erlaubte, die API ohne Kontrolle zu belichten, implizit die Tür offen zu einem unauthenticated CERs. Dies erklärt zum Teil, warum das Problem so lange unbemerkt gewesen sein könnte: Die beteiligten Teile verhalten sich in einer erwarteten Weise getrennt, aber kombiniert erlaubt für eine ausbeutebare Kette.
Apaches Betreuer wurden Ende März gemeldet und eine schnelle Korrektur veröffentlicht; die geparden Versionen sind 5.19.4 und 6.2.3. Die offizielle Sicherheitshinweise und die Korrekturankündigung sind auf der Apache ActiveMQ Website verfügbar: Apache ad auf CVE-2026-34197. Wie immer in diesen Fällen sollte die Aktualisierung auf die geparched Versionen die erste Priorität für jeden Computer mit ActiveMQ Classic sein.
Neben der Aktualisierung empfehlen die Forscher, die Broker-Datensätze für bestimmte Indikatoren zu überprüfen: interne VM-Typ-Verbindungen, die Remote-Konfigurationsparameter mit brokerConfig = xbean umfassen: http: / / und alle wiederholten Verbindungsversuche, die von einer Mitteilung über Konfigurationsprobleme begleitet werden. Diese Nachrichten können angeben, dass der Broker bereits versucht hat, die bösartige Konfiguration zu laden und dass die Ausführung von Befehlen aufgetreten sein kann.
Die Geschichte von ActiveMQ in realen Vorfällen macht diese Mitteilung besonders relevant. Frühere Ausbeutungen des gleichen Produktes wurden in Angriffen in der realen Welt verwendet - und einige dieser Schwachstellen erscheinen in öffentlichen Risikokatalogen - so Infrastrukturmanager sollten diesen Patch als dringend behandeln. Für zusätzlichen Kontext auf alten Schwachstellen und deren Ausbeutung auf dem Gebiet ist die CISA-Liste auf ausgebeuteten Schwachstellen eine nützliche Ressource: CISA KEV.
Jenseits des sofortigen Patches lässt dieser Fall eine Lektion über die Softwaresicherheit: automatisierte Analyse und traditionelle Bewertungen können Angriffswege verlieren, die aus der Interaktion zwischen unabhängig entwickelten Modulen entstehen. Die Verwendung von IA-Tools zur Unterstützung der Entdeckung von Schwachstellen erweist sich als wertvoll, unterstreicht aber auch die Notwendigkeit, diese Kapazität in Audit-Prozesse, Sicherheitstests und Zugriffskontrolle zu integrieren, nicht als ein einziger Ersatz für menschliche Bewertungen.
Wenn Sie Instanzen von ActiveMQ Classic verwalten, aktualisieren Sie so schnell wie möglich, beschränken Sie den Zugriff auf die Jolokia Management API durch Netzwerksteuerungen und starke Authentifizierung und prüfen Sie Ihr Protokoll durch abnorme Muster in Bezug auf VM-Verbindungen und Remote-Konfigurations-Lastparameter. Für technische Details und Minderungen sind der Bericht Horizon3 und die Mitteilung von Apache die wichtigsten Referenzen: Horizon und Apache ActiveMQ.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...