Dos fallas en RabbitMQ permitían tomar control total del sistema de mensajería sin autenticarse
Dos fallas de control de acceso en RabbitMQ, un sistema de mensajería usado para conectar aplicaciones empresariales, podían filtrar secretos de acceso y exponer información de otros clientes que comparten el mismo servicio. Ya existen versiones corregidas. No hay evidencia de que hayan sido explotadas antes de conocerse públicamente.
Qué ocurrió
Investigadores encontraron dos fallas de seguridad en RabbitMQ, un sistema de mensajería que muchas empresas usan para conectar aplicaciones internas entre sí. La primera permitía que cualquier persona, sin necesitar una cuenta, obtuviera un secreto de autenticación (una especie de llave maestra) que abre acceso administrativo completo al sistema. La segunda permitía a cualquier usuario autenticado ver información de colas y mensajes de otros clientes que comparten el mismo servicio, algo que no debería ser visible entre ellos. Ya existen versiones corregidas. No hay evidencia de que alguien haya aprovechado estas fallas antes de que se hicieran públicas.
Quién está expuesto
Para organizaciones
Empresas que usan RabbitMQ en versiones 3.13.0 o posteriores, especialmente si el panel de administración es accesible desde Internet.
A considerar
Además de actualizar, conviene cambiar los secretos de autenticación si el panel de administración estuvo expuesto a Internet, y restringir el acceso al puerto que usa ese panel (15672) mediante el firewall.
Impacto potencial
Con la llave maestra filtrada, un atacante podía tomar control administrativo total del sistema de mensajería: ver, modificar o eliminar mensajes, y controlar la configuración completa del servicio. Esto puede interrumpir la comunicación entre aplicaciones internas que dependen de RabbitMQ para funcionar.
Leer fuente original →