## Entdeckung der Schwachstelle Die Schwachstelle wurde mithilfe des KI-Assistenten **Claude** entdeckt, der durch die Analyse der Interaktion zwischen unabhängig entwickelten Komponenten in **Apache ActiveMQ Classic** einen potenziellen Exploit-Pfad identifizierte. Dies unterstreicht die zunehmende Rolle von KI in der Schwachstellenforschung. ## Technische Details zu CVE-2026-34197 Die als **CVE-2026-34197** verfolgte Sicherheitslücke wurde mit einer hohen Schweregradbewertung von 8,8 eingestuft. Sie betrifft **Apache ActiveMQ/Broker**-Versionen vor 5.19.4 und alle Versionen von 6.0.0 bis 6.2.3. **Apache ActiveMQ** ist ein Open-Source-Message-Broker, der in Java geschrieben ist und die asynchrone Kommunikation über Message Queues oder Topics ermöglicht. Obwohl eine neuere 'Artemis'-Zweig existiert, wird die 'Classic'-Edition, die von **CVE-2026-34197** betroffen ist, immer noch häufig in Unternehmensumgebungen, Web-Backends und auf Java basierenden Regierungssystemen eingesetzt. ## Rolle der KI bei der Aufdeckung des Fehlers Der Forscher Naveen Sunkavally von **Horizon3** entdeckte das Problem mithilfe von **Claude** mit einfachen Prompts. Laut Sunkavally identifizierte **Claude** die Schwachstelle durch die Untersuchung mehrerer einzelner Komponenten, darunter **Jolokia**, **JMX**, Netzwerk-Konnektoren und VM-Transports. "Jede Funktion isoliert tut, was sie soll, aber zusammen waren sie gefährlich. Genau hier glänzte Claude – es hat diesen Pfad effizient und mit klarem Kopf, frei von Annahmen, von Ende zu Ende zusammengesetzt." ## Verfügbarkeit von Patches Die Schwachstelle wurde am 22. März den **Apache**-Maintainern gemeldet, und am 30. März wurde in den **ActiveMQ Classic**-Versionen 6.2.3 und 5.19.4 ein Patch veröffentlicht. ## Exploit-Mechanismus Ein Bericht von **Horizon3** erklärt, dass die Schwachstelle aus der **ActiveMQ Jolokia** Management-API resultiert, die eine Broker-Funktion (`addNetworkConnector`) offenlegt, die missbraucht werden kann, um externe Konfigurationen zu laden. Ein Angreifer kann eine speziell präparierte Anfrage senden, um den Broker zu zwingen, eine entfernte Spring XML-Datei abzurufen und während der Initialisierung beliebige Systembefehle auszuführen. Das Problem erfordert eine Authentifizierung über **Jolokia**, wird aber in den Versionen 6.0.0 bis 6.1.1 aufgrund eines separaten Fehlers, **CVE-2024-32114**, unauthentifiziert, der die API ohne Zugriffskontrolle offenlegt.  ## Empfehlung Die Forscher von **Horizon3** betonen das Risiko, das von diesem Fehler ausgeht, und verweisen auf frühere **ActiveMQ**-Schwachstellen, die in realen Angriffen ausgenutzt wurden. „Wir empfehlen Organisationen, die ActiveMQ nutzen, dies als hohe Priorität zu behandeln, da ActiveMQ wiederholt Ziel von realen Angreifern war und Methoden zur Ausnutzung und Post-Exploitation von ActiveMQ bekannt sind“, so **Horizon3**. Sie wiesen auch darauf hin, dass **CVE-2016-3088** und **CVE-2023-46604** auf der KEV-Liste der CISA stehen. Obwohl **CVE-2026-34197** nicht als aktiv ausgenutzt gemeldet wird, können Anzeichen für eine Ausnutzung in den **ActiveMQ**-Broker-Logs gefunden werden. Sie empfehlen, nach verdächtigen Broker-Verbindungen zu suchen, die das interne Transportprotokoll VM und den Query-Parameter `brokerConfig=xbean:http://` verwenden. Die Befehlsausführung erfolgt während mehrerer Verbindungsversuche, und eine Warnmeldung über ein Konfigurationsproblem deutet auf eine erfolgreiche Payload-Ausführung hin.