Popüler açık kaynaklı mesaj kuyruğu sistemi RabbitMQ'da keşfedilen kritik bir güvenlik açığı, kurumsal sistemleri ciddi bir tehditle karşı karşıya bırakıyor. Siber güvenlik firması Miggo tarafından tespit edilen CVE-2026-5721 numaralı açık (CVSS puanı: 8.7), broker'ın gizli OAuth sırrını kimlik doğrulaması olmadan herkese açık bir yönetim uç noktası üzerinden sızdırıyor. Bu durum, saldırganların yönetici token'ı ele geçirerek tüm sistem üzerinde tam kontrol sağlamasına olanak tanıyor.
Açık, RabbitMQ'nun web yönetim arayüzünde bulunan eski bir uç noktada (endpoint) ortaya çıktı. Bu uç nokta, yöneticinin broker için kimlik sağlayıcı (identity provider) doğrulaması amacıyla yapılandırdığı gizli parolayı herhangi bir doğrulama gerektirmeden döndürüyor. Miggo'ya göre, yönetim portuna erişebilen herkes bu sırrı alabilir ve OAuth yetkilendirme mekanizması sayesinde bu sırrı kullanarak broker'ı taklit edip kimlik sağlayıcıdan yönetici token'ı elde edebilir.
Bu güvenlik açığı özellikle OAuth 2.0 veya OpenID Connect (OIDC) sağlayıcıları (Auth0, Azure AD/Entra ID, Keycloak, UAA gibi) kullanılan yapılandırmalarda kritik risk oluşturuyor. Saldırgan, ele geçirdiği yönetici token'ı ile kullanıcıları, mesajları, kuyrukları ve broker ayarlarını kontrol edebilir. Şirket, bu açığın en büyük risk oluşturduğu senaryoların, yönetim portunun güvenilmeyen ağlara (bulut, çok kiracılı yapılar veya internete yanlışlıkla açık bırakılan yönetim arayüzü) erişilebilir olduğu durumlar olduğunu belirtiyor.
CVE-2026-5721, RabbitMQ sürüm 3.13.0 ile 2024 başlarında koda eklendi ve 4.3.0, 4.2.6, 4.1.11, 4.0.20 ve 3.13.15 sürümlerinde düzeltildi. Güncellemeler ayrıca, kimliği doğrulanmış herhangi bir kullanıcının kuyrukları ve exchange'leri listelemesine, istatistiklerini okumasına izin veren orta düzeyde bir yetkilendirme hatasını (CVE-2026-57221, CVSS 5.3) de gideriyor. Miggo, bu ikinci açığın bir kuruluşun sanal ana bilgisayarını (virtual host) haritalamak, iş faaliyetlerini çıkarsamak ve gelecek saldırılar için istihbarat toplamak amacıyla kullanılabileceği uyarısında bulunuyor.
Miggo, her iki güvenlik açığının da egzotik olmadığını, kod tabanında iki yıldan fazla süredir bulunduğunu vurguluyor. Şirket, bunların olgun ve yaygın olarak kullanılan yazılımlarda gizlenen sessiz, sistematik tutarsızlıklar olduğunu belirtiyor: "Bir insan inceleyicinin gözden kaçırdığı ve tek geçişli bir aracın çevresindeki her şeyle karşılaştırmakta başarısız olduğu türden." Şu ana kadar bu açıkların vahşi ortamda kullanıldığına dair bir kanıt bulunmuyor.
Kuruluşların RabbitMQ dağıtımlarını derhal güncellemeleri, yama yapılamıyorsa savunmasız örneklere erişimi engellemeleri, yönetim arayüzünü internete açık bırakmamaları, ağ segmentasyonu uygulamaları ve OAuth istemci sırrını döndürmeleri öneriliyor. Bu önlemler, potansiyel bir saldırıdan korunmak için kritik öneme sahip.
Kaynak: securityweek.com