Organisasi keamanan nirlaba Shadowserver menemukan bahwa lebih dari 6.400 server Apache ActiveMQ yang terekspos secara online rentan terhadap serangan berkelanjutan yang mengeksploitasi kerentanan injeksi kode dengan tingkat keparahan tinggi.
Apache ActiveMQ adalah broker pesan multi-protokol sumber terbuka paling populer untuk komunikasi asinkron antar aplikasi Java.
Dilacak sebagai CVE-2026-34197kerentanan ditemukan oleh Peneliti Horizon3 Naveen Sunkavally menggunakan asisten Claude AI setelahnya tetap tidak terdeteksi selama 13 tahun.
Seperti yang dijelaskan Sunkavally, kelemahan keamanan ini berasal dari kelemahan validasi input yang tidak tepat yang memungkinkan pelaku ancaman terautentikasi mengeksekusi kode arbitrer pada sistem yang belum dipatch. Pengelola Apache telah menambal kerentanan tersebut pada tanggal 30 Maret di ActiveMQ Classic versi 6.2.3 dan 5.19.4.
Seperti yang diperingatkan oleh layanan pemantauan ancaman ShadowServer pada hari Senin, lebih dari 6.400 alamat IP dengan sidik jari Apache ActiveMQ yang terekspos secara online juga rentan terhadap serangan CVE-2026-34197, dengan sebagian besar terjadi di Asia (2.925), Amerika Utara (1.409), dan Eropa (1.334).
.png)
Badan Keamanan Siber dan Infrastruktur AS (CISA) juga memperingatkan pada hari Kamis bahwa kerentanan Apache ActiveMQ ini sekarang secara aktif dieksploitasi dalam serangan dan memerintahkan badan-badan Cabang Eksekutif Sipil Federal (FCEB) untuk mengamankan server mereka paling lambat tanggal 30 April.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” badan keamanan siber memperingatkan.
“Terapkan mitigasi sesuai instruksi vendor, ikuti panduan BOD 22-01 yang berlaku untuk layanan cloud, atau hentikan penggunaan produk jika mitigasi tidak tersedia.”
Peneliti Horizon3 menyarankan admin untuk mencari tanda-tanda eksploitasi di log broker ActiveMQ dengan mencari koneksi broker mencurigakan yang menggunakan VM protokol transport internal dan parameter kueri brokerConfig=xbean:http://.
“Kami merekomendasikan organisasi yang menjalankan ActiveMQ untuk memperlakukan ini sebagai prioritas tinggi, karena ActiveMQ telah berulang kali menjadi target penyerang di dunia nyata, dan metode eksploitasi dan pasca-eksploitasi ActiveMQ sudah dikenal luas,” Horizon3 memperingatkan.
CISA menandai dua kerentanan Apache ActiveMQ lainnya seperti yang dieksploitasi di alam liar dalam beberapa tahun terakhir, dilacak sebagai CVE-2016-3088 Dan CVE-2023-46604dengan yang terakhir ditargetkan oleh geng ransomware TellYouThePass sebagai cacat zero-day.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
