Organisasi keamanan nirlaba Shadowserver menemukan bahwa lebih dari 6.400 server Apache ActiveMQ yang terekspos ke internet kini rentan terhadap serangan aktif yang mengeksploitasi kerentanan injeksi kode dengan tingkat keparahan tinggi.
Apache ActiveMQ sendiri merupakan pialang pesan (message broker) multi-protokol sumber terbuka (open-source) paling populer yang digunakan untuk komunikasi asinkron antaraplikasi Java di berbagai tingkat perusahaan.
Celah Berusia 13 Tahun yang Ditemukan oleh AI
Dilacak sebagai CVE-2026-34197, kerentanan ini ditemukan oleh peneliti Horizon3, Naveen Sunkavally. Menariknya, ia berhasil menemukan celah ini dengan menggunakan bantuan asisten AI Claude setelah kerentanan tersebut bersembunyi dan tidak terdeteksi selama 13 tahun.
Seperti yang dijelaskan oleh Sunkavally, kelemahan keamanan ini bermula dari kelemahan validasi masukan (input validation) yang tidak tepat. Celah ini memungkinkan aktor ancaman yang terautentikasi untuk mengeksekusi kode arbitrer pada sistem yang belum ditambal.
Pengelola Apache dengan cepat telah menambal kerentanan tersebut pada tanggal 30 Maret di ActiveMQ Classic versi 6.2.3 dan 5.19.4.
Peringatan CISA dan Skala Dampak Global
Seperti yang diperingatkan oleh layanan pemantauan ancaman ShadowServer pada hari Senin, lebih dari 6.400 alamat IP dengan sidik jari Apache ActiveMQ yang terekspos secara online rentan terhadap serangan CVE-2026-34197. Sebaran korban terbanyak berlokasi di Asia (2.925), diikuti oleh Amerika Utara (1.409), dan Eropa (1.334).
Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Kamis juga mengeluarkan peringatan keras bahwa kerentanan Apache ActiveMQ ini kini sedang dieksploitasi secara aktif dalam berbagai serangan. CISA secara khusus menginstruksikan lembaga-lembaga Cabang Eksekutif Sipil Federal (FCEB) AS untuk segera mengamankan server mereka paling lambat tanggal 30 April.
“Jenis kerentanan ini sering menjadi vektor serangan bagi aktor siber berbahaya dan menimbulkan risiko signifikan bagi perusahaan federal,” peringat lembaga keamanan siber tersebut. “Terapkan mitigasi sesuai instruksi vendor, ikuti panduan BOD 22-01 yang berlaku untuk layanan cloud, atau hentikan penggunaan produk jika mitigasi tidak tersedia.”
Saran Mitigasi dan Deteksi Eksploitasi
Peneliti Horizon3 menyarankan para administrator sistem untuk segera mencari tanda-tanda eksploitasi di dalam log broker ActiveMQ mereka. Administrator harus mewaspadai koneksi broker mencurigakan yang menggunakan protokol transpor internal VM dan parameter kueri brokerConfig=xbean:http://.
“Kami merekomendasikan organisasi yang menjalankan ActiveMQ untuk memperlakukan ini sebagai prioritas tinggi, karena ActiveMQ telah berulang kali menjadi target penyerang dunia nyata, dan metode eksploitasi serta pasca-eksploitasi ActiveMQ sudah sangat dikenal,” tegas pihak Horizon3.
Sebagai catatan, ini bukan kali pertama platform tersebut menjadi sasaran empuk. CISA sebelumnya telah menandai dua kerentanan Apache ActiveMQ lainnya sebagai celah yang dieksploitasi di alam liar (in the wild) dalam beberapa tahun terakhir (dilacak sebagai CVE-2016-3088 dan CVE-2023-46604). Celah yang disebutkan terakhir bahkan sempat dieksploitasi oleh geng ransomware TellYouThePass sebagai serangan zero-day.