Eine detaillierte Fallanalyse von The DFIR Report zeigt, wie Angreifer über die seit 2023 bekannte Schwachstelle CVE-2023-46604 in Apache ActiveMQ eingedrungen sind – und das gleich zweimal beim selben Opfer. Der originale Bericht ist hier abrufbar: The DFIR Report, Februar 2026
Was ist passiert? Ein öffentlich erreichbarer ActiveMQ-Server wurde über eine Remote-Code-Execution-Lücke kompromittiert. Trotz Entdeckung und Bereinigung nutzten die Täter 18 Tage später dieselbe, immer noch ungepatchte Schwachstelle erneut. Beim zweiten Einbruch dauerte es weniger als 90 Minuten bis zur Ransomware-Ausführung. Die Angreifer setzten LockBit-Ransomware ein, die offenbar auf Basis des geleakten LockBit-Builders eigenständig zusammengestellt wurde – erkennbar am abgeänderten Erpressertext und der Nutzung des Messengers Session statt der üblichen LockBit-Infrastruktur.
Bin ich betroffen? Wer Apache ActiveMQ in einer Version vor 5.15.16, 5.16.7, 5.17.6 oder 5.18.3 betreibt und diese Instanz aus dem Internet erreichbar ist, sollte dringend handeln. CVE-2023-46604 ist seit Oktober 2023 bekannt und gepatcht – wird aber weiterhin aktiv ausgenutzt.
Empfehlung: Sofort patchen und ActiveMQ nicht direkt ins Internet exponieren. Netzwerksegmentierung und eine Firewall vor dem Dienst sind Pflicht. Wer LSASS-Zugriffe, ungewöhnliche Remote-Service-Ausführungen oder CertUtil-Downloads im Netz sieht, sollte hellhörig werden. Aktives Monitoring auf die genannten Sigma- und Netzwerkregeln lohnt sich. Dass der gleiche Angriffsweg 18 Tage nach der ersten Kompromittierung erneut funktionierte, zeigt vor allem eines: Patchen muss nach einem Vorfall oberste Priorität haben – nicht irgendwann.
