Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) hat die kritische Schwachstelle CVE-2026-34197 in Apache ActiveMQ Classic in ihren Katalog der Known Exploited Vulnerabilities (KEV) aufgenommen. Damit ist offiziell bestätigt, dass diese Sicherheitslücke nicht nur theoretisch besteht, sondern bereits in realen Angriffskampagnen ausgenutzt wird – mit erheblichen Risiken für Unternehmensnetzwerke.
Was hinter CVE-2026-34197 in Apache ActiveMQ Classic steckt
Die Schwachstelle CVE-2026-34197 weist einen CVSS-Basis-Score von 8,8 auf und wird als Code-Injection durch fehlerhafte Eingabevalidierung beschrieben. Angreifer können dadurch beliebigen Code auf dem ActiveMQ-Server ausführen und so ein vollwertiges Remote Code Execution (RCE)-Szenario erreichen. In der Praxis bedeutet das: Ein kompromittierter Broker kann zum Ausgangspunkt für Datenmanipulation, Spionage oder Ransomware-Angriffe werden.
Die Analyse von Sicherheitsforschern, unter anderem von Horizon3.ai, zeigt, dass diese Schwachstelle über viele Jahre unentdeckt im Code vorhanden war. Angreifer missbrauchen dabei die Jolokia-API von ActiveMQ: Über eine Verwaltungsoperation wird der Broker dazu gebracht, eine entfernte Konfigurationsdatei zu laden und im Anschluss beliebige Betriebssystembefehle auszuführen. Eine eigentlich für Administration gedachte Schnittstelle wird so zum direkten Einfallstor.
Jolokia-API als Angriffsvektor: Von schwacher Authentifizierung zu vollstaendig anonymer RCE
Unter normalen Umständen setzt die Ausnutzung von CVE-2026-34197 gültige Zugangsdaten für ActiveMQ voraus. In vielen Umgebungen werden jedoch bis heute Standard-Credentials wie admin:admin eingesetzt. Solche Vorgabekonten lassen sich mit einfachen Scans oder automatisierten Brute-Force-Angriffen in kurzer Zeit finden, wodurch der Schutz durch Authentifizierung faktisch ausgehöhlt wird.
Besonders kritisch ist die Situation in den Versionen 6.0.0 bis 6.1.1. Hier kommt eine weitere Schwachstelle, CVE-2024-32114, hinzu, durch die die Jolokia-API ohne jede Authentifizierung erreichbar ist. In dieser Konstellation verwandelt sich CVE-2026-34197 in eine komplett nicht authentifizierte RCE-Luecke: Ein Angreifer kann den ActiveMQ-Broker übernehmen, ohne Benutzername oder Passwort zu kennen.
CISA stuft CVE-2026-34197 als Known Exploited Vulnerability ein
Mit der Aufnahme in den KEV-Katalog verpflichtet CISA alle zivilen Bundesbehörden der USA (FCEB Agencies), die Schwachstelle bis zum 30. April 2026 zu beheben. In den KEV-Katalog werden nur Verwundbarkeiten aufgenommen, für die bereits verifizierte Exploits im Umlauf sind. Die Einstufung als KEV-Schwachstelle gilt in der Praxis als Indikator für besonders dringenden Handlungsbedarf.
Auch wenn die Vorgaben formal nur für US-Bundesbehörden gelten, sollten Unternehmen und Organisationen weltweit diese Frist als Mindeststandard verstehen. Die Erfahrung der letzten Jahre zeigt, dass sich das Zeitfenster zwischen öffentlicher Bekanntmachung einer Sicherheitslücke und deren massenhafter Ausnutzung immer weiter verkürzt.
Angriffe auf Apache ActiveMQ Classic: Scans und Ausnutzung offener Jolokia-Endpunkte
Nach Erkenntnissen von SAFE Security scannen Angreifer aktuell intensiv nach aus dem Internet erreichbaren Jolokia-Endpunkten in Apache-ActiveMQ-Classic-Umgebungen. Besonders im Fokus stehen vernachlässigte oder falsch konfigurierte Management-Interfaces, die zwar selten im Blick der Administratoren sind, aber weitreichende Steuerungsmöglichkeiten für den Message Broker bieten.
Über solche Angriffsoberflächen lassen sich verschiedene Szenarien realisieren: von der Exfiltration vertraulicher Daten und dem Abgriff von Nachrichten über die Störung geschäftskritischer Services bis hin zum lateralen Bewegen im Netzwerk. Wird ein zentraler Message Broker kompromittiert, können Angreifer häufig weitere Systeme in Integrationsketten und Datenpipelines erreichen.
Warum Apache ActiveMQ ein bevorzugtes Ziel fuer Cyberangreifer ist
Apache ActiveMQ gehört zu den am weitesten verbreiteten Open-Source-Message-Brokern und bildet in vielen Unternehmen das Rückgrat für Integrationen, Microservices-Kommunikation und Datenverarbeitungspipelines. Eine erfolgreiche Kompromittierung erlaubt es Angreifern, gleichzeitig auf zahlreiche Geschäftsprozesse Einfluss zu nehmen.
Bereits in der Vergangenheit wurde ActiveMQ mehrfach ins Visier genommen. So wurde etwa die kritische Schwachstelle CVE-2023-46604 mit einem CVSS-Score von 10,0 in Kampagnen zur Verteilung der Linux-Malware DripDropper eingesetzt. Diese Historie unterstreicht, dass Message Broker für Angreifer strategische Ziele darstellen – nicht zuletzt, weil sie häufig tief in operative Abläufe eingebettet sind.
Konkrete Sicherheitsmassnahmen gegen die Ausnutzung von CVE-2026-34197
Schnelles Patch-Management und Versionskontrolle
Das Apache-Projekt empfiehlt allen Betreibern, auf die fehlerbereinigten Versionen 5.19.4 oder 6.2.3 von ActiveMQ Classic zu aktualisieren. Organisationen sollten alle Instanzen systematisch inventarisieren, mit der vom Projekt veröffentlichten Liste betroffener Versionen abgleichen und veraltete oder vergessene Installationen (z. B. in Testumgebungen) besonders im Blick behalten.
Härtung von Jolokia und Verwaltungsoberflaechen
Zur Reduzierung der Angriffsfläche sind folgende Schritte sinnvoll:
1. Vollständige Bestandsaufnahme aller ActiveMQ-Deployments und Identifikation von Jolokia-Endpunkten, die aus dem Internet oder aus unsicheren Zonen erreichbar sind.
2. Zugriffsbeschränkung auf Management-Interfaces über Firewalls, VPN oder dedizierte Administrationsnetze.
3. Deaktivierung von Jolokia, sofern die Schnittstelle nicht zwingend benötigt wird.
4. Wo Jolokia aktiv bleiben muss, konsequente Umsetzung starker Authentifizierung, Verzicht auf Standardpasswörter sowie Einführung einer regelmäßigen Passwortrotation und rollenbasierter Zugriffssteuerung.
Monitoring, Protokollierung und Incident Response
Ergänzend zur Härtung sollten Unternehmen verstärkt Monitoring- und Erkennungsmaßnahmen rund um ActiveMQ implementieren. Verdächtig sind insbesondere ungewöhnliche Jolokia-Aufrufe, das Nachladen unbekannter Konfigurationen sowie Aufrufe, die zu Shell- oder Betriebssystemkommandos führen. Entsprechende Events sollten zentral im SIEM korreliert und in definierte Incident-Response-Playbooks eingebunden werden, um Reaktionszeiten im Ernstfall zu minimieren.
Angesichts der Rolle von Apache ActiveMQ Classic als zentralem Baustein vieler Integrations- und Datenplattformen ist es riskant, die Behebung von CVE-2026-34197 aufzuschieben. Organisationen sollten jetzt alle ActiveMQ-Instanzen erfassen, schnellstmöglich auf gepatchte Versionen aktualisieren und Managementschnittstellen wie Jolokia strikt absichern. Wer diese Schwachstelle zeitnah schließt und seine Message-Broker-Architektur grundsätzlich überprüft, reduziert nicht nur das unmittelbare Risiko eines RCE-Angriffs, sondern stärkt nachhaltig die Resilienz der gesamten Unternehmens-IT.
