CISA: Apache-ActiveMQ-Lücke wird nun aktiv ausgenutzt

Die CISA hat eine schwerwiegende Schwachstelle in Apache ActiveMQ in ihren KEV-Katalog aufgenommen. Für Sicherheitsteams ist das ein klares Signal, dass es sich nicht um gewöhnliche Patch-Pflege handelt, sondern um eine akute Priorität.

Warum das wichtig ist

Die Lücke mit der Kennung CVE-2026-34197 betrifft Apache ActiveMQ Classic und kann aufgrund einer fehlerhaften Eingabevalidierung die Ausführung beliebigen Codes ermöglichen. Laut dem ursprünglichen Bericht blieb der Fehler jahrelang unentdeckt, bevor er Ende März geschlossen wurde.

Das ist relevant, weil ActiveMQ in vielen Unternehmensumgebungen als Message Broker eingesetzt wird. Sobald Ausnutzungsdetails bekannt werden, werden öffentlich erreichbare Instanzen schnell zu attraktiven Zielen. Shadowserver hat nach eigenen Angaben weiterhin Tausende exponierte Server im Blick.

Was der KEV-Eintrag bedeutet

Mit der Aufnahme in den KEV-Katalog macht die CISA deutlich, dass das Risiko nicht nur theoretisch ist. US-Bundesbehörden haben nun eine Frist zur Behebung, und auch private Unternehmen sollten das als direkte Warnung verstehen.

Die praktische Konsequenz ist einfach: Wer noch verwundbare Versionen von ActiveMQ Classic betreibt, sollte dieses Update weit oben priorisieren. Zusätzlich lohnt sich eine Prüfung der Broker-Logs auf verdächtige Verbindungen sowie eine Reduzierung der direkten Internet-Exposition.

Der größere Kontext

Der Fall zeigt erneut, wie schnell ältere Infrastruktursoftware zum Sicherheitsproblem an vorderster Front werden kann, sobald ein belastbarer Exploit-Pfad auftaucht. Message Broker stehen selten im Rampenlicht, können Angreifern innerhalb eines Anwendungsstapels aber einen sehr wertvollen Einstiegspunkt liefern.