Angreifer attackieren Apache ActiveMQ Broker, Apache ActiveMQ
Admins sollten zĂĽgig die gegen derzeit laufende Attacken gerĂĽsteten Versionen von Apache ActiveMQ Broker und Apache ActiveMQ installieren.
(Bild: Gorodenkoff/Shutterstock.com)
Derzeit attackieren unbekannte Angreifer die quelloffenen Message Broker Apache ActiveMQ Broker und Apache ActiveMQ und fĂĽhren Schadcode aus. Dagegen gerĂĽstete Ausgaben stehen zum Download bereit.
Attacken mit und ohne Anmeldung
Auf die Sicherheitslücke (CVE-2026-34197 „hoch“) sind Sicherheitsforscher von Horizon3 gestoßen. In einem Beitrag führen sie aus, dass die Schwachstelle seit 13 Jahren in Apache ActiveMQ Classic schlummert. Die Lücke haben sie eigenen Angaben zufolge unter anderem mit der Hilfe des Claude-LLMs entdeckt.
Der Beschreibung der Lücke zufolge setzen Angreifer an der Jolokia API an, um Konfigurationsdateien abzufangen und Schadcode auszuführen. Dafür muss ein Angreifer aber bereits an Systemen angemeldet sein. Kombiniert ein Angreifer den Forschern zufolge die aktuelle Lücke mit einer älteren Schwachstelle (CVE-2024-32114 „hoch“), sind Attacken ohne Authentifizierung möglich. Demzufolge sollten Admins schnell reagieren.
Systeme vor Attacken schĂĽtzen
Videos by heise
Nun warnt die US-Sicherheitsbehörde Cybersecurtiy & Infrastructure Security Agency (CISA) vor laufenden Attacken. In welchem Umfang die Angriffe ablaufen und wer konkret attackiert wird, ist derzeit nicht bekannt. Die technischen Details zur Lücke erläutern die Sicherheitsforscher in ihrem Beitrag. Dort gibt es weiterführende Informationen zur älteren und aktuellen Sicherheitslücke. Zusätzlich zeigen sie Parameter auf, an denen Admins bereits erfolgreich attackierte Instanzen erkennen können.
In einer Warnmeldung geben die Entwickler an, dass die Ausgaben 5.19.4 und 6.2.3 von Apache ActiveMQ Broker und Apache ActiveMQ gegen die laufenden Angriffe gerĂĽstet sind. Alle vorigen Versionen seien verwundbar.
(des)
