كشفت ثغرات RabbitMQ الجديدة عن مخاطر قد تسرّب أسرار OAuth وتسمح بكشف بيانات الطوابير بين المستأجرين، ما يرفع احتمال السيطرة على بيئات الرسائل المؤسسية.
ما هي ثغرات RabbitMQ الجديدة ولماذا تهم الشركات؟
تستهدف المشكلة خدمة RabbitMQ، وهي من أشهر منصات تمرير الرسائل داخل البنى السحابية والتطبيقات المؤسسية. الخطورة هنا لا تتعلق بتعطل الخدمة فقط، بل بإمكانية وصول المهاجم إلى معلومات حساسة تفتح الطريق لاختراق أوسع.
وبحسب التفاصيل التي اطّلعت عليها تيكبامين، فإن الخللين يرتبطان بآليات التحكم في الوصول. الأول قد يسرّب سر عميل OAuth دون الحاجة إلى تسجيل دخول، بينما يسمح الثاني لمستخدم شرعي بمشاهدة بيانات تخص مستأجرين آخرين داخل نفس البيئة.
كيف يمكن استغلال ثغرات RabbitMQ؟
أخطر سيناريو يظهر عندما تكون واجهة الإدارة الخاصة بـ RabbitMQ متاحة عبر شبكة غير موثوقة أو مفتوحة على الإنترنت. في هذه الحالة، قد يتمكن مهاجم من إرسال طلب واحد فقط للحصول على السر السري المستخدم في إعدادات OAuth.
بعد ذلك، قد تتوسع دائرة الخطر بسرعة، لأن هذا النوع من الأسرار يُستخدم للمصادقة بين الخدمات والأنظمة. وإذا حصل المهاجم عليه، فقد ينتقل من مجرد الاطلاع إلى السيطرة على الوسيط أو العبث بتدفقات الرسائل الداخلية.
أبرز المخاطر العملية
- تسريب أسرار OAuth من واجهة الإدارة.
- كشف بيانات الطوابير والميتاداتا بين المستأجرين.
- إضعاف العزل داخل البيئات متعددة المستأجرين.
- رفع احتمال الاستيلاء على البنية الرسائلية في الشركات.
ما الإصدارات المتأثرة من RabbitMQ؟
تشير المعلومات المتاحة إلى أن الخللين موجودان في الشيفرة منذ أوائل 2024، ويؤثران على سلسلة الإصدارات 3.13.0 وما بعدها. وهذا يعني أن عدداً كبيراً من البيئات التي لم تُحدّث مؤخراً قد يكون ضمن نطاق الخطر.
تمت معالجة الثغرات في الإصدارات التالية، لذلك ينبغي التحقق منها فوراً:
- RabbitMQ 4.3.0
- RabbitMQ 4.2.6
- RabbitMQ 4.1.11
- RabbitMQ 4.0.20
- RabbitMQ 3.13.15
ما الذي يجب فعله الآن لحماية الخوادم؟
التحديث إلى الإصدارات الآمنة هو الخطوة الأولى، لكنه ليس الإجراء الوحيد. في البيئات التي كانت واجهة الإدارة فيها مكشوفة للعامة، من الأفضل تدوير سر OAuth فوراً تحسباً لأي تسريب سابق غير مرصود.
توصيات تقليل المخاطر
- تقييد الوصول إلى المنفذ 15672 وعدم نشر واجهة الإدارة للعامة.
- تدوير أسرار OAuth بعد التحديث مباشرة.
- فصل المستأجرين باستخدام virtual hosts مستقلة.
- إضافة قواعد جدار ناري لحجب نقطة النهاية المتأثرة في الأنظمة غير المحدثة.
هل توجد مؤشرات على هجمات فعلية؟
حتى الآن لا توجد أدلة معلنة على استغلال واسع قبل الكشف العام، لكن هذا لا يقلل من خطورة الموقف. عادةً ما تتحول مثل هذه التفاصيل إلى أهداف مباشرة بعد نشرها، خصوصاً في منصات منتشرة داخل الشركات.
لهذا، ترى تيكبامين أن التعامل مع ثغرات RabbitMQ يجب أن يكون فورياً، لأن التأخير في التحديث أو ترك واجهات الإدارة مكشوفة قد يحول مشكلة تقنية صغيرة إلى اختراق مؤسسي واسع النطاق.