Apache ActiveMQ-Lücke führt zu LockBit-Ransomware-Angriff

Eine detaillierte Fallanalyse von The DFIR Report zeigt, wie Angreifer über die seit 2023 bekannte Schwachstelle CVE-2023-46604 in Apache ActiveMQ eingedrungen sind – und das gleich zweimal beim selben Opfer. Der originale Bericht ist hier abrufbar: The DFIR Report, Februar 2026

Was ist passiert? Ein öffentlich erreichbarer ActiveMQ-Server wurde über eine Remote-Code-Execution-Lücke kompromittiert. Trotz Entdeckung und Bereinigung nutzten die Täter 18 Tage später dieselbe, immer noch ungepatchte Schwachstelle erneut. Beim zweiten Einbruch dauerte es weniger als 90 Minuten bis zur Ransomware-Ausführung. Die Angreifer setzten LockBit-Ransomware ein, die offenbar auf Basis des geleakten LockBit-Builders eigenständig zusammengestellt wurde – erkennbar am abgeänderten Erpressertext und der Nutzung des Messengers Session statt der üblichen LockBit-Infrastruktur.

Bin ich betroffen? Wer Apache ActiveMQ in einer Version vor 5.15.16, 5.16.7, 5.17.6 oder 5.18.3 betreibt und diese Instanz aus dem Internet erreichbar ist, sollte dringend handeln. CVE-2023-46604 ist seit Oktober 2023 bekannt und gepatcht – wird aber weiterhin aktiv ausgenutzt.

Empfehlung: Sofort patchen und ActiveMQ nicht direkt ins Internet exponieren. Netzwerksegmentierung und eine Firewall vor dem Dienst sind Pflicht. Wer LSASS-Zugriffe, ungewöhnliche Remote-Service-Ausführungen oder CertUtil-Downloads im Netz sieht, sollte hellhörig werden. Aktives Monitoring auf die genannten Sigma- und Netzwerkregeln lohnt sich. Dass der gleiche Angriffsweg 18 Tage nach der ersten Kompromittierung erneut funktionierte, zeigt vor allem eines: Patchen muss nach einem Vorfall oberste Priorität haben – nicht irgendwann.

Related Posts

KI-generierte Passwörter sind unsicher – auch wenn sie stark aussehen

Wer ChatGPT, Claude oder Gemini bittet, ein Passwort zu generieren, bekommt etwas, das sicher aussieht – aber es nicht ist. Sicherheitsforscher von Irregular Security haben das systematisch nachgewiesen: In 50 Testläufen produzierte Claude Opus 4.6 das Passwort G7$kL9#mQ2&xP4!w satte 18-mal. Klassische Passwort-Tools wie KeePass bewerten solche Passwörter mit ~100 Bit Entropie und damit als „exzellent" – tatsächlich liegt die reale Entropie laut Analyse bei nur etwa 27 Bit. Das ist der Unterschied zwischen „Milliarden Jahre zum Knacken" und „Sekunden mit einem Heimrechner".

Read More

Kritische ImageMagick-Lücke mit bekanntem Exploit

Am 23. Februar 2026 wurde CVE-2026-23876 veröffentlicht, eine Heap-Buffer-Overflow-Schwachstelle in ImageMagick, die mit CVSS 8.1 als hochgefährlich eingestuft wird. Besonders brisant: Ein funktionsfähiger Proof-of-Concept ist bereits öffentlich verfügbar, was die Angriffsschwelle erheblich senkt und schnelles Handeln notwendig macht.

Read More

Kritische Heap-Corruption-Schwachstelle in GNU C Library (glibc)

In der GNU C Library (glibc) wurde eine Sicherheitslücke identifiziert, die durch einen Integer-Overflow bei Speicherverwaltungsfunktionen zu Heap-Corruption führen kann. Die Schwachstelle betrifft die Versionen 2.30 bis 2.42 und erhielt die Kennung CVE-2026-0861 mit einem CVSS-Score von 8.4 (HIGH).

Read More