Popüler açık kaynaklı mesaj broker'ı RabbitMQ'da keşfedilen iki önemli güvenlik açığı, kurumsal uygulama verilerini tehlikeye atıyor. Miggo Security tarafından bulunan zafiyetler, OAuth sırlarının kimliği doğrulanmamış saldırganlar tarafından ele geçirilmesine olanak tanıyor. Bu da düşük yetkili kullanıcıların diğer kiracıları gözetlemesine ve bazı dağıtımlarda broker üzerinde tam kontrol sağlamasına yol açabiliyor.
RabbitMQ, modern uygulamalarda hizmetler arasında veri taşıyan temel bir bileşen olarak kullanılıyor. Siparişler, ödemeler, kimlik doğrulama olayları ve dahili bildirimler gibi kritik veriler RabbitMQ üzerinden akıyor. Yılda 15 milyondan fazla indirilen bu yazılım, geniş kullanım alanı nedeniyle yüksek değerli bir hedef haline geliyor. Miggo araştırmacıları, zafiyetlerin ciddiyetini vurgularken, "RabbitMQ, modern uygulamaların içindeki hizmetler arasında veri taşıyan tesisattır" ifadelerini kullandı.
İlk güvenlik açığı, OAuth 2.0 kimlik doğrulama mekanizmasındaki bir hata nedeniyle, kullanıcıların OAuth sırlarını (client secret) yetkisiz bir şekilde görüntüleyebilmesine izin veriyor. Bu sırlar, genellikle uygulamaların birbirleriyle güvenli iletişim kurması için kullanılıyor. Saldırgan, bu sırları ele geçirerek diğer kullanıcıların kimlik bilgilerine erişebilir veya broker üzerinde kendi hesaplarının yetkilerini yükseltebilir. İkinci zafiyet ise, RabbitMQ'nun erişim kontrol listelerindeki (ACL) bir zayıflıktan kaynaklanıyor ve düşük yetkili kullanıcıların diğer kiracıların kuyruklarına (queue) okuma/yazma erişimi elde etmesine olanak tanıyor.
Detaylar ve Etkileri
Bu açıkların etkisi özellikle çok kiracılı (multi-tenant) ortamlarda daha da ciddi hale geliyor. Birden fazla uygulamanın veya müşterinin aynı RabbitMQ broker'ını paylaştığı senaryolarda, bir kiracının OAuth sırlarının sızması, diğer tüm kiracıların verilerinin de ifşa olmasına yol açabilir. Ayrıca, broker'ın tamamen ele geçirilmesi durumunda saldırgan, tüm mesaj trafiğini okuyabilir, değiştirebilir veya yönlendirebilir, hatta broker'ı bir botnet'in parçası haline getirebilir.
RabbitMQ geliştiricileri, bu zafiyetler için yamalar yayınladı. Kullanıcıların en kısa sürede RabbitMQ'nun en son sürümüne (3.13.x veya 3.12.x) güncelleme yapmaları öneriliyor. Ayrıca, OAuth sırlarının güvenli bir şekilde saklanması ve yönetilmesi için ek önlemler alınması, erişim kontrol listelerinin düzenli olarak gözden geçirilmesi ve çok kiracılı ortamlarda izolasyonun sağlanması kritik önem taşıyor.
Güvenlik uzmanları, bu açıkların mesaj kuyruğu sistemlerine yönelik artan tehditlerin bir parçası olduğunu belirtiyor. Kuruluşların, RabbitMQ gibi kritik altyapı bileşenlerini güvence altına almak için sürekli güvenlik taramaları yapması, en az ayrıcalık ilkesini uygulaması ve güncellemeleri takip etmesi gerekiyor. Aksi halde, bu tür zafiyetler büyük veri ihlallerine ve iş süreçlerinin aksamasına neden olabilir.
Kaynak: csoonline.com