RabbitMQに存在する脆弱性を悪用すれば、攻撃者がブローカーの機密OAuthシークレットを取得できる可能性があり、企業にとって深刻な脅威となり得ると、サイバーセキュリティ企業のMiggoが指摘しています。
RabbitMQは、メッセージのルーティング、バッファリング、配信を行い、アプリケーション間の非同期通信を可能にする、人気のオープンソースメッセージブローカーです。
CVE-2026-5721として追跡されているこのセキュリティ上の欠陥(CVSSスコア8.7)は、認証なしで誰にでもOAuthシークレットを返してしまう、公開された管理エンドポイントに影響を及ぼします。
このバグは、RabbitMQの管理Webインターフェース内にある旧式のエンドポイントで発見されたもので、管理者がIDプロバイダー認証用にブローカーの機密パスワードを設定している構成でトリガーされる可能性があります。
「管理ポートにアクセスできる者なら誰でもこのシークレットを取得でき、さらにOAuthグラントによってそのシークレットが利用可能な状況では、ブローカーになりすましてIDプロバイダーに対して認証を行い、管理者トークンを取得することも可能です」とMiggoは述べています。
Auth0、Azure AD/Entra ID、Keycloak、UAAなどのOAuth 2/OIDCプロバイダーを使用する際の標準的な構成である、この漏洩したシークレットを利用する環境では、攻撃者が管理者トークンを取得し、ユーザー、メッセージ、キュー、ブローカー設定を掌握できるようになると同社は説明しています。
クライアントシークレットが設定されていない場合は、そもそも漏洩するシークレットが存在しないため、この展開は影響を受けません。また、管理プラグインを導入していないRabbitMQインスタンスも影響を受けません。
「リスクが最も深刻になるのは、信頼できないネットワークから管理ポートに到達可能な場合です。具体的には、クラウド環境やマルチテナント構成、あるいは管理UIが誤ってインターネットに公開されているケースなどが挙げられます」とMiggoは述べています。
CVE-2026-5721は2024年初頭、RabbitMQバージョン3.13.0で作り込まれたもので、バージョン4.3.0、4.2.6、4.1.11、4.0.20、3.13.15で修正されています。
今回のアップデートでは、CVE-2026-57221(CVSSスコア5.3)にも対処しています。これは中程度の深刻度を持つ認可欠如の脆弱性で、認証済みのユーザーであれば誰でもキューやエクスチェンジを列挙し、その統計情報を読み取ることができてしまうというものです。
Miggoによると、この脆弱性は組織の仮想ホストをマッピングし、事業活動を推測し、将来の攻撃に向けた情報収集を行うために悪用される可能性があります。この欠陥は、同一の仮想ホストが複数のアプリケーションやチームで共有されているマルチテナント環境にとってリスクとなります。
組織は直ちにRabbitMQの導入環境を更新すべきです。パッチ適用ができない場合は脆弱なインスタンスへのアクセスを遮断し、管理インターフェースがインターネットに公開されていないことを確認し、セグメンテーションを実施した上で、OAuthクライアントシークレットをローテーションすることが求められます。なお、この脆弱性が実際に悪用された形跡は確認されていません。
「これら2件のRabbitMQのバグは、いずれも特殊なものではありません。2年以上にわたってコードベースに潜んでいました。まさに、成熟し広く普及したソフトウェアに潜みがちな、静かで組織的な不整合の典型例です。人間のレビュアーであれば見過ごしてしまい、単発のスキャンツールでは周囲のあらゆる要素と突き合わせて比較することができないような種類のものです」とMiggoは指摘しています。
翻訳元: https://www.securityweek.com/rabbitmq-vulnerability-threatens-enterprise-systems/