Aktive Ausnutzung der Apache ActiveMQ RCE-Schwachstelle (CVE-2026-34197)

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat die aktive Ausnutzung einer hochgradig gefährlichen Schwachstelle für Remotecodeausführung (RCE) in Apache ActiveMQ Classic bestätigt, die als CVE-2026-34197 erfasst ist. Die Schwachstelle wurde in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen, was verifizierte böswillige Aktivitäten in freier Wildbahn signalisiert und die Priorität für Abhilfemaßnahmen für alle Organisationen erhöht, die betroffene Versionen von ActiveMQ verwenden.

Die Schwachstelle ermöglicht es Angreifern, beliebige Betriebssystembefehle auf anfälligen ActiveMQ-Brokern auszuführen, indem sie die Jolokia JMX-HTTP-Management-API missbrauchen. In bestimmten Versionen kann die Schwachstelle ohne Authentifizierung ausgenutzt werden, was das Risiko für Internet-exponierte und schlecht gesicherte Umgebungen erheblich erhöht. Unternehmen, die betroffene Versionen einsetzen, wird dringend empfohlen, sofort Patches zu installieren und nach Anzeichen für eine Gefährdung zu suchen.

Technische Einzelheiten

CVE-2026-34197 wird durch unsachgemäße Eingabevalidierung und unsichere Codeausführungspfade in Apache ActiveMQ Classic verursacht. Das Problem liegt insbesondere in der Art und Weise, wie die Jolokia-Verwaltungsschnittstelle des Brokers sensible JMX-Operationen, wie BrokerService.addNetworkConnector(), offenlegt.

Ein Angreifer kann dieses Verhalten ausnutzen, um den Broker zu zwingen, eine entfernte, vom Angreifer kontrollierte Spring-XML-Konfigurationsdatei zu laden, die während der Initialisierung ausgeführt wird. Da Spring alle Beans vor der Validierung instanziiert, führt diese Sequenz zur Ausführung von beliebigem Code innerhalb des ActiveMQ-JVM-Prozesses.

Obwohl der Exploit-Pfad normalerweise eine Authentifizierung erfordert, ist die Verwendung von Standard-Anmeldeinformationen (admin:admin) in realen Implementierungen üblich. Darüber hinaus sind die ActiveMQ-Versionen 6.0.0 bis 6.1.1 von einer separaten Sicherheitslücke (CVE-2024-32114) betroffen, die den Jolokia-Endpunkt ohne Authentifizierung offenlegt, wodurch CVE-2026-34197 in diesen Versionen zu einem unauthentifizierten RCE wird.

Betroffene Produkte

Die Sicherheitslücke betrifft die folgenden Komponenten und Versionen von Apache ActiveMQ Classic:

• Apache ActiveMQ Broker (activemq-broker)
  • Versionen vor 5.19.4
  • Versionen 6.0.0 bis vor 6.2.3
• Apache ActiveMQ (activemq-all)
  • Fassungen vor 5.19.4
  • Versionen 6.0.0 bis vor 6.2.3

Apache ActiveMQ Artemis ist nicht betroffen.

Aktivität der Bedrohung und Ausnutzungsstatus

Die CISA hat eine aktive Ausnutzung in freier Wildbahn bestätigt, woraufhin CVE-2026-34197 in den KEV-Katalog aufgenommen wurde. Während die technischen Details von Live-Angriffen begrenzt bleiben, berichten mehrere Sicherheitsüberwachungsanbieter von zunehmenden Erkundungs- und Ausnutzungsversuchen gegen öffentlich zugängliche Jolokia-Endpunkte, die mit ActiveMQ Classic-Brokern verbunden sind.

Diese Angriffe folgen einem wiederkehrenden Muster: Apache ActiveMQ wurde in den letzten Jahren wiederholt von Bedrohungsakteuren ins Visier genommen, einschließlich der Ausnutzung der Sicherheitslücke CVE-2023-46604, die im Jahr 2025 zur Verbreitung von Linux-Malware genutzt wurde. Die Aufnahme dieser Schwachstelle in die KEV-Liste ist ein Zeichen für eine glaubwürdige und anhaltende Bedrohung von Unternehmens- und Regierungsumgebungen.

Bewertung der Auswirkungen

Bei erfolgreicher Ausnutzung können Angreifer:

• Beliebige Befehle auf Betriebssystemebene auszuführen
• Malware oder Web-Shells bereitzustellen
• Über eine vertrauenswürdige Messaging-Infrastruktur auf benachbarte Systeme zuzugreifen
• Zugriff auf oder Manipulation von sensiblen Nachrichtendaten
• dauerhafte Hintertüren einzurichten

Angesichts der Rolle von ActiveMQ als Middleware in kritischen Geschäftsprozessen kann eine Kompromittierung zu erheblichen Betriebsunterbrechungen, zur Offenlegung von Daten und zur Gefährdung nachgelagerter Systeme führen. Das Risiko ist besonders akut, wenn Broker mit dem Internet verbunden sind oder Standardanmeldeinformationen verwenden.

Indikatoren für eine Kompromittierung (IOCs)

Unternehmen sollten ActiveMQ-Broker- und Anwendungsprotokolle auf die folgenden verdächtigen Aktivitäten überprüfen:

• Jolokia-API-Anfragen mit Verweis auf:
  • addNetworkConnector
  • brokerConfig=xbean:http://
• Unerwartete ausgehende HTTP/HTTPS-Verbindungen, die vom ActiveMQ-Broker-Prozess initiiert werden
• Verwendung von vm:// URIs, die auf unbekannte oder externe Makler verweisen
• Unerkannte Kindprozesse, die vom ActiveMQ-Java-Prozess erzeugt werden

Diese Indikatoren können auf einen versuchten oder erfolgreichen Angriff hindeuten.

Abschwächung und Abhilfemaßnahmen

• Aktualisieren Sie Apache ActiveMQ Classic auf:
  • 5.19.4 oder höher (5.x-Zweig), oder
  • 6.2.3 oder höher (6.x-Zweig)
• Schränken Sie den Jolokia-Zugang ein oder deaktivieren Sie ihn, insbesondere auf Systemen mit Internetanschluss.
• Ändern Sie die Standardanmeldeinformationen und erzwingen Sie eine starke Authentifizierung für Verwaltungsschnittstellen.
• Begrenzen Sie die Netzwerkbelastung, indem Sie sicherstellen, dass ActiveMQ-Webkonsolen und Verwaltungs-APIs nicht öffentlich zugänglich sind.
• Überprüfen Sie die Protokolle auf Anzeichen für eine Gefährdung und leiten Sie eine Reaktion ein, wenn verdächtige Aktivitäten festgestellt werden.

Die CISA empfiehlt nachdrücklich, der Behebung dieser Schwachstelle unabhängig vom Sektor Priorität einzuräumen, auch wenn die KEV-Fristen offiziell nur für US-Bundesbehörden gelten.

Wenn Sie sich über eine der in diesem Bulletin beschriebenen Bedrohungen Sorgen machen oder Hilfe benötigen, um herauszufinden, welche Maßnahmen Sie ergreifen sollten, um sich vor den wichtigsten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer oder setzen Sie sich mit uns in Verbindung, um zu erfahren, wie Sie Ihr Unternehmen schützen können.