Apache ActiveMQ CVE-2026-34197 Masuk Daftar CISA KEV, Eksploitasi Aktif Tingkatkan Risiko RCE

Apache ActiveMQ baru-baru ini menghadapi ancaman serius setelah kerentanan keamanan tinggi yang dikenal dengan kode CVE-2026-34197 diaktifkan eksploitasi secara luas di dunia maya. Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) secara resmi telah memasukkan celah ini ke dalam katalog Known Exploited Vulnerabilities (KEV), menandai urgensi penanganan oleh lembaga pemerintah dan perusahaan.

Kerentanan CVE-2026-34197 dan Dampaknya

CVE-2026-34197 memiliki skor CVSS sebesar 8,8, mengindikasikan tingkat keparahan yang tinggi. Kerentanan ini merupakan akibat dari improper input validation yang memungkinkan pelaku jahat melakukan code injection atau penyisipan kode berbahaya. Dengan celah ini, penyerang dapat menjalankan perintah arbitrer di sistem yang rentan.

"Seorang penyerang dapat memanggil operasi manajemen melalui API Jolokia ActiveMQ untuk menipu broker agar mengambil file konfigurasi jarak jauh dan menjalankan perintah sistem operasi secara bebas," ujar Naveen Sunkavally dari Horizon3.ai. Ia juga menambahkan bahwa "kerentanan ini telah tersembunyi selama 13 tahun."

Meski eksploitasi memerlukan kredensial, penggunaan kredensial default seperti admin:admin masih banyak ditemukan di berbagai lingkungan. Lebih parahnya, pada versi ActiveMQ tertentu (6.0.0–6.1.1), tidak dibutuhkan kredensial sama sekali karena adanya kerentanan lain, CVE-2024-32114, yang membuka akses API Jolokia tanpa autentikasi. Dalam kondisi tersebut, CVE-2026-34197 berubah menjadi remote code execution (RCE) tanpa perlu autentikasi.

Versi Terkena Dampak dan Rekomendasi Patch

Versi Apache ActiveMQ yang terdampak adalah:

• Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) sebelum versi 5.19.4
• Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) versi 6.0.0 sampai sebelum 6.2.3
• Apache ActiveMQ (org.apache.activemq:activemq-all) sebelum 5.19.4
• Apache ActiveMQ (org.apache.activemq:activemq-all) versi 6.0.0 sampai sebelum 6.2.3

Pengguna disarankan untuk segera memperbarui ke versi 5.19.4 atau 6.2.3 yang telah menambal kerentanan ini. Meski belum ada rincian eksploitasi secara terbuka, laporan dari SAFE Security mengindikasikan bahwa para pelaku ancaman kini aktif menargetkan titik akhir manajemen Jolokia yang terbuka di lingkungan Apache ActiveMQ Classic.

Ancaman dan Risiko Berkelanjutan dari Apache ActiveMQ

Kasus ini menegaskan kembali bahwa waktu antara pengumuman kerentanan dan eksploitasi aktif terus menyusut drastis. Penyerang semakin cepat memanfaatkan celah baru, bahkan sebelum organisasi berhasil memperbarui sistem mereka.

Apache ActiveMQ adalah target populer bagi pelaku kejahatan siber dengan berbagai celah yang sudah berulang kali dimanfaatkan sejak tahun 2021. Salah satu contoh terdahulu adalah kerentanan kritis CVE-2023-46604 (skor 10.0) yang dimanfaatkan untuk menyebarkan malware Linux bernama DripDropper pada Agustus 2025.

"Karena peran penting ActiveMQ dalam pengiriman pesan dan pipeline data di perusahaan, antarmuka manajemen yang terbuka membawa risiko besar, termasuk potensi eksfiltrasi data, gangguan layanan, dan pergerakan lateral," kata SAFE Security. Mereka juga mengingatkan organisasi untuk melakukan audit menyeluruh terhadap semua deployment yang memiliki titik akhir Jolokia yang dapat diakses secara eksternal, membatasi akses hanya untuk jaringan terpercaya, menerapkan autentikasi kuat, dan menonaktifkan Jolokia yang tidak diperlukan.

Analisis Redaksi

Menurut pandangan redaksi, penambahan CVE-2026-34197 ke dalam daftar KEV oleh CISA bukan hanya menjadi alarm bagi lembaga pemerintah AS, tetapi juga sinyal kuat bagi perusahaan global untuk segera bertindak. Kerentanan ini menunjukkan bagaimana masalah keamanan yang tampak "lama" dan tersembunyi dapat berubah menjadi ancaman nyata yang aktif dieksploitasi saat ini.

Lebih jauh, kondisi di mana kredensial default masih digunakan secara luas menunjukkan lemahnya praktik keamanan di banyak organisasi. Ini menjadi titik kritis yang memudahkan penyerang memanfaatkan celah dengan cepat. Redaksi menilai bahwa tanpa tindakan proaktif—seperti audit keamanan berkala dan pembaruan perangkat lunak tepat waktu—risiko insiden siber besar akan terus meningkat.

Kedepannya, pengawasan terhadap jalur manajemen seperti API Jolokia harus menjadi prioritas tinggi. Selain itu, industri harus mendorong adopsi kebijakan keamanan yang ketat untuk mencegah eksploitasi serupa. Tetap pantau perkembangan patch dan advisori CISA untuk memastikan sistem Anda terlindungi dengan baik.

Untuk informasi lebih lengkap dan pembaruan terkini, Anda dapat mengikuti berita terbaru dari sumber resmi seperti The Hacker News dan laporan keamanan dari SAFE Security.