13 Jahre unentdeckt: Mittels KI aufgespürte Lücke gefährdet Tausende Server
In älteren Versionen des freien Message-Brokers Apache ActiveMQ klafft eine gefährliche und bereits aktiv ausgenutzte Sicherheitslücke, die es Angreifern ermöglicht, aus der Ferne Schadcode einzuschleusen und zur Ausführung zu bringen. Den Scans der Shadowserver Foundation(öffnet im neuen Fenster) zufolge sind weltweit über 6.300 Server anfällig für diese Lücke. Auch Deutschland bleibt dabei nicht verschont.
Apache ActiveMQ ist ein freier und in der Programmiersprache Java entwickelter Message Broker. Die Software unterstützt mehrere Kommunikationsprotokolle wie AMQP, STOMP, MQTT, Websocket und Openwire und ermöglicht eine Abwicklung von Client-Server-Kommunikationen.
Die eingangs genannte Sicherheitslücke ist als CVE-2026-34197(öffnet im neuen Fenster) registriert und erreicht einen hohen Schweregrad (CVSS: 8,8). Ursache ist laut Schwachstellenbeschreibung eine unzureichende Eingabevalidierung. Angreifer können dadurch eigenen Code in anfällige ActiveMQ-Instanzen schleusen und in der JVM (Java Virtual Machine) zur Ausführung bringen.
Viele Systeme noch ungepatcht
Den Scans der Shadowserver Foundation zufolge gibt es weltweit(öffnet im neuen Fenster) aktuell 6.364 angreifbare ActiveMQ-Instanzen. Das sind immerhin schon knapp zehn Prozent weniger als noch am 17. April, als die Organisation mit der Erfassung der Daten begann und 7.075 anfällige Systeme zählte. Dennoch ist der größte Teil der insgesamt(öffnet im neuen Fenster) 7.566 online erreichbaren ActiveMQ-Instanzen weiterhin ungeschützt.
Innerhalb Europas zählte die Shadowserver Foundation zuletzt 1.342 anfällige Apache-ActiveMQ-Instanzen. Im Ländervergleich(öffnet im neuen Fenster) führt China das Feld mit 1.206 Instanzen an. Danach folgen die USA (1.035), Brasilien (356), Deutschland (292), Japan (261), Indien (255) und Kanada (222).
Attacken laufen bereits
Die US-amerikanische Cybersicherheitsbehörde Cisa hatte erst vor wenigen Tagen eine Warnmeldung herausgegeben(öffnet im neuen Fenster), laut der CVE-2026-34197 aktiv ausgenutzt wird. Details zum Umfang der Attacken nannte die Behörde dabei jedoch nicht. Administratoren sollten dies dennoch zum Anlass nehmen, zügig die verfügbaren Patches einzuspielen, um ihre Systeme zu schützen. Als geschützt gelten laut Entwickler(öffnet im neuen Fenster) die ActiveMQ-Versionen 5.19.4 und 6.2.3.
Entdeckt wurde CVE-2026-34197 von einem Sicherheitsforscher namens Naveen Sunkavally von Horizon3.ai. Laut Blogbeitrag des Forschers(öffnet im neuen Fenster) wurde die Lücke schon vor 13 Jahren in Apache ActiveMQ eingeführt und blieb damit jahrelang unentdeckt, bis Sunkavally sie schließlich mithilfe von Anthropics Claude-KI aufspürte.
Zwar soll eine erfolgreiche Ausnutzung der Sicherheitslücke gültige Zugangsdaten voraussetzen, jedoch soll sich diese Hürde nach Angaben des Forschers in Kombination mit einer anderen bekannten Sicherheitslücke (CVE-2024-32114(öffnet im neuen Fenster)) oder mit dem auf vielen ActiveMQ-Systemen aktiven Standard-Admin-Zugang (admin:admin) leicht überwinden lassen.
- Anzeige Hier geht es zu Künstliche Intelligenz: Wissensverarbeitung bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.