Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Kamis mengeluarkan peringatan mendesak terkait kerentanan tingkat keparahan tinggi pada Apache ActiveMQ. Celah keamanan yang baru saja ditambal awal bulan ini tersebut kini diketahui sedang dieksploitasi secara aktif dalam berbagai serangan siber di alam liar (in the wild).
Sebagai informasi, Apache ActiveMQ merupakan pialang pesan (message broker) berbasis Java sumber terbuka (open-source) yang paling populer untuk memfasilitasi komunikasi asinkron antaraplikasi.
Celah Tersembunyi Selama 13 Tahun
Dilacak sebagai CVE-2026-34197, cacat keamanan ini secara mengejutkan telah bersembunyi dan tidak terdeteksi selama 13 tahun. Kerentanan ini akhirnya berhasil diungkap oleh peneliti keamanan dari Horizon3, Naveen Sunkavally, yang secara inovatif memanfaatkan bantuan asisten kecerdasan buatan (AI) Claude dalam penemuannya.
Sunkavally menjelaskan bahwa akar kerentanan ini berasal dari validasi masukan (input validation) yang tidak tepat. Celah ini memungkinkan aktor ancaman yang telah terautentikasi untuk mengeksekusi kode arbitrer melalui serangan injeksi yang mematikan.
Menanggapi temuan ini, pengelola proyek Apache telah bertindak dengan merilis tambalan (patch) pada 30 Maret untuk ActiveMQ Classic versi 6.2.3 dan 5.19.4.
“Kami merekomendasikan organisasi yang menjalankan ActiveMQ untuk memperlakukan ini sebagai prioritas tinggi, karena ActiveMQ telah menjadi target berulang bagi para penyerang di dunia nyata, dan metode eksploitasi serta pasca-eksploitasi ActiveMQ sudah sangat dikenal luas,” peringat tim peneliti Horizon3.
Ancaman ini tidak bisa dianggap remeh, mengingat layanan pemantauan ancaman ShadowServer saat ini melacak ada lebih dari 7.500 server Apache ActiveMQ yang masih terekspos secara daring ke publik.
Mandat Penambalan dari CISA
Merespons eksploitasi aktif tersebut, CISA resmi memasukkan CVE-2026-34197 ke dalam Katalog Kerentanan yang Diketahui Dieksploitasi (KEV). Berdasarkan Arahan Operasional Mengikat (BOD) 22-01, CISA memberikan ultimatum kepada lembaga Federal Civilian Executive Branch (FCEB) untuk segera menambal server ActiveMQ mereka selambat-lambatnya pada 30 April 2026.
“Jenis kerentanan ini merupakan vektor serangan yang sering digunakan oleh aktor siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” tegas badan keamanan siber tersebut. “Terapkan mitigasi sesuai instruksi vendor… atau hentikan penggunaan produk jika mitigasi tidak tersedia.”
Meskipun arahan BOD 22-01 hanya mengikat secara hukum bagi lembaga federal AS, CISA sangat mendesak para pelindung jaringan di sektor swasta untuk turut memprioritaskan penambalan CVE-2026-34197 (serta typo CVE-2026-35616 di sumber asli) demi mengamankan jaringan organisasi mereka secepat mungkin.
Cara Mendeteksi Jejak Eksploitasi
Bagi administrator jaringan, peneliti Horizon3 membagikan cara untuk mendeteksi tanda-tanda kompromi. Indikasi eksploitasi dapat ditemukan dengan menganalisis catatan log (logs) broker ActiveMQ. Administrator disarankan untuk mencari koneksi broker mencurigakan yang menggunakan parameter kueri brokerConfig=xbean:http:// dan protokol transportasi internal VM.
Sebagai catatan kelam, CISA sebelumnya juga telah menandai dua kerentanan Apache ActiveMQ lainnya yang dieksploitasi di alam liar, yakni CVE-2023-46604 dan CVE-2016-3088. Kerentanan yang pertama bahkan sempat ditargetkan secara intensif oleh geng ransomware TellYouThePass sebagai celah zero-day.