Eine ernsthafte Sicherheitslücke in Apache ActiveMQ lässt Tausende von Servern unbeachtet und es gibt bereits Beweise für Angriffe. Non-Profit-Forscher Die Welt der Welt haben mehr erkannt als 6.400 IP-Adressen mit Internetzugang Aktiv MQ-Drucke, die noch anfällig für einen Hochgravity-Code-Injektionsausfall sind.
ActiveMQ ist einer der am weitesten verbreiteten Open Source Messaging Broker in Java-Umgebungen für asynchrone Interapplication-Kommunikation. Seine Popularität macht einen ernsthaften Ausfall zu einem attraktiven Ziel für Angreifer, die versuchen, Remote-Code zu führen oder sich seitlich in kompromittierten Netzwerken bewegen; daher hat die Entstehung dieses Misserfolgs sofortige Alarm zwischen Sicherheitsteams und Administratoren verursacht.
Schwäche, aufgezeichnet als CVE-2026-34197, wurde von dem Forscher Naveen Sunkavally von Horizon3 identifiziert, der dokumentiert, wie es für mehr als ein Jahrzehnt unbemerkt ging und dass er in seiner Arbeit nutzte IA-Assistenten, um die Untersuchung zu beschleunigen; die technische Wurzel ist eine unzureichende Validierung von Einträgen, die authentifizierte Akteure die Ausführung von willkürlichen Befehlen in unbeparkten Fällen zu zwingen. Die offizielle Meldung des ActiveMQ-Projekts wurde am 30. März veröffentlicht und enthält die korrigierten Versionen: ActiveMQ Classic 6.2.3 und 5.19.4( Ankündigung von Apache)
Die Shadowserver-Daten zeigen auch eine besorgniserregende geographische Verteilung: Fast die Hälfte der erfassten Instanzen sind in Asien, mit wichtigen Konzentrationen auch in Nordamerika und Europa. Diese öffentliche Sicht erleichtert die Arbeit von Angreifern, die das Netzwerk für gefährdete Einrichtungen scannen, und nach Angaben der US-Agentur selbst wurden bereits Betriebe in realen Umgebungen beobachtet.
In Anbetracht der Beweise für die aktive Verwendung des Versagens, Infrastruktur und Cybersicherheitsagentur der USA (CISA) gab eine Warnung aus und setzte eine Frist für die Sicherung ihrer Server. CISA erinnert daran, dass diese Art von Defekt oft fruchtbarer Grund für schädliche Akteure ist und empfiehlt die Anwendung der Abschwächung des Lieferanten, nach den geltenden Richtlinien für Cloud-Dienste (BOD 22-01) oder Stoppen mit dem Produkt, wenn es keine verfügbaren Schutze.
Systemmanager sollten nicht warten: Am effektivsten ist es, die offiziellen Patches auf die korrigierten Versionen anzuwenden. Ist ein sofortiges Update nicht machbar, gibt es vorübergehende Minderungs- und Perimeterkontrollen, die die Exposition reduzieren können, aber keine Korrektur ersetzen. Horizon3 Forscher selbst raten, die Broker-Aufzeichnungen zu überprüfen, indem sie nach verdächtigen Verbindungen suchen, die internen VM-Transport und Ketten mit dem Parameter verwenden brokerConfig = xbean: http: /, Indikationen, die versuchen, schädliche Konfigurationen zu betreiben oder zu laden ( Offenlegung von Horizon3)
Dieser Vorfall entsteht nicht im Vakuum: ActiveMQ ist zuvor in Warnungen der tatsächlichen Ausbeutung erschienen. Die CISA hat bisherige Projektverwundbarkeiten in ihren Katalog von ausgenutzten Fehlern, wie zum Beispiel CVE-2016-3088 und CVE-2023-46604, Letztere bezogen auf Ransomware Kampagnen, die nutzte einen 0-Tag. Dieser Datensatz bestätigt, dass Bedienmuster und Tools für Kompromissbroker gut dokumentiert und Angreifern zur Verfügung stehen.
Für technische Geräte und Produktmanager ist die Liste der Aufgaben klar: alle Instanzen von ActiveMQ zu identifizieren, das Update auf die von Apache veröffentlichten Versionen zu priorisieren, Protokolle und Telemetrie auf der Suche nach unbefugten Zugriffssignalen zu überprüfen und Netzwerksteuerungen zu bewerten, die den Zugriff auf den Dienst aus dem Internet begrenzen. Wenn Sie Cloud-Services verwalten, überprüfen Sie auch Einstellungen und wenden Sie spezielle Sicherheitshinweise für diese Umgebung an wie von CISA empfohlen.
Die Kombination einer alten Schwachstelle, die Leichtigkeit ihrer Ausbeutung und die Anzahl der erkannten Server machen CVE-2026-34197 zu einer Bedrohung, die sofortige Aufmerksamkeit erfordert. Um offizielle Quellen zu lesen und technische Informationen zu erweitern, siehe die Registerkarte in der NVD ( CVE-2026-34197), die technische Offenlegung von Horizon3 ( Analyse des Forschers), der Apache ( Sicherheitshinweis) und die Überwachung von Shadowserver-Expositionen ( Schattenserver-Panel)
Wenn Sie ein Administrator sind, lassen Sie es nicht für später: Aktualisierungen, Bewertungen der Protokolle und Grenzen des öffentlichen Zugangs. Wenn Sie für Risiken verantwortlich sind, drücken Sie bitte das Patch mit Priorität anzuwenden. In der Sicherheit kann der Unterschied zwischen der Erkennung und der rechtzeitigen Abhilfe der Unterschied zwischen einem kleinen Vorfall und einer großen Krise sein.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...