Siber güvenlik araştırmacıları, RabbitMQ mesaj aracı hizmetini etkileyen iki erişim kontrolü kusurunun ayrıntılarını ifşa etti. Bu kusurlar, saldırganların OAuth istemci sırlarını sızdırmasına, kurumsal mesajlaşma altyapısının ele geçirilmesine ve kiracı sınırlarının aşılmasına olanak tanıyabiliyor.
Miggo güvenlik ekibi tarafından keşfedilen ve raporlanan açıklardan ilki, 'aracının gizli OAuth sırrını, tek bir istekle kimliği doğrulanmamış bir saldırgana sızdırarak, bu sırrı kullanan yapılandırmalarda aracın tamamen ele geçirilmesine doğrudan bir yol açıyor.' İkinci güvenlik açığı ise, oturum açmış herhangi bir kullanıcının sessizce diğer kiracıların verilerini okumasına izin veriyor.
Her iki kusurun da 2024'ün başlarından beri kod tabanında bulunduğu ve RabbitMQ'nun 3.13.0 ve sonraki sürümlerini etkilediği belirtiliyor. Bu açıklar, 4.3.0, 4.2.6, 4.1.11, 4.0.20 ve 3.13.15 sürümlerinde giderildi. Kamuya duyurulmadan önce her iki güvenlik açığının da aktif olarak istismar edildiğine dair herhangi bir kanıt bulunmuyor.
CVE-2026-57219 (CVSS puanı: 8.7) olarak izlenen ilk açık, kullanılmayan bir HTTP API uç noktası ("GET /api/auth") aracılığıyla, OAuth 2'yi management.oauth_client_secret yapılandırma anahtarıyla kullanan RabbitMQ kurulumlarında istemci sırrını ifşa ediyor. Saldırgan bu sırrı bir yönetici token'ı ile değiştirerek tüm mesajlar, kuyruklar, kullanıcılar ve aracı ayarları üzerinde tam kontrol elde edebiliyor.
Sistem Güvenliği
CVE-2026-57221 (CVSS puanı: 5.3) ise, bir sanal ana bilgisayara bağlanabilen kimliği doğrulanmış herhangi bir kullanıcının, gerçek izinlerine bakılmaksızın, o sanal ana bilgisayardaki tüm kuyruk ve değişim adlarını sıralamasına ve kuyruk mesaj sayıları ile tüketici sayılarını okumasına izin veren bir yetkilendirme eksikliğinden kaynaklanıyor.
Miggo, CVE-2026-57219 hakkında "Uç noktanın yetkilendirme kontrolü, diğer tüm hassas yönetim uç noktalarının aksine, isteğe her zaman izin verecek şekilde sabit kodlanmıştı" dedi. "Risk, yönetim bağlantı noktasına güvenilmeyen bir ağdan erişilebildiği durumlarda en yüksektir: bulut veya çok kiracılı kurulumlar veya internete yanlışlıkla açık bir yönetim arayüzü."
En son sürümlere güncelleme yapmanın yanı sıra, yönetim arayüzüne internet üzerinden erişilebiliyorsa OAuth istemci sırrının döndürülmesi, 15672 numaralı bağlantı noktasına erişimin kısıtlanması, kiracıların sanal ana bilgisayarlarla ayrılması ve güncellenmemiş örneklerde güvenlik açığı bulunan uç noktaya erişimi engellemek için güvenlik duvarı kurallarının uygulanması öneriliyor. Bu duyuru, RabbitMQ bakımcılarının TLS istemci kimlik doğrulamasını atlatabilen (CVSS puanı: 9.1) ve aradaki adam (AitM) konumundaki bir saldırganın JSON Web Anahtar Seti (JWKS) yanıtlarını taklit etmesine ve aracının keyfi JWT'leri kabul etmesine neden olmasına izin veren (CVSS puanı: 9.2) iki kritik önemdeki güvenlik açığını giderdiği bir dönemde geldi.
Kaynak: thehackernews.com