साइबर सुरक्षा विशेषज्ञों ने रैबिटएमक्यू संदेश ब्रोकर में दो गंभीर एसेस‑कंट्रोल खामियों की पहचान की है, जिससे OAuth क्लाइंट सीक्रेट्स लीक हो सकते हैं और टेनेंट‑विच क्व्यू डेटा उजागर हो सकता है, जिससे हमलों की संभावना बढ़ती है। ये खामियां सभी डिफ़ॉल्ट सेटिंग वाले डिप्लॉयमेंट को प्रभावित करती हैं और त्वरित पैच की आवश्यकता है।

मुख्य बिंदु (Key Takeaways)

  • रैबिटएमक्यू में दो एसेस‑कंट्रोल बग्स OAuth क्रेडेंशियल्स को उजागर कर सकते हैं।
  • क्रॉस‑टेनेंट क्व्यू मेटाडाटा लीक हो सकता है, जिससे टेनेंट सीमाएं बायपास हो सकती हैं।
  • तुरंत पैच लागू करना और कॉन्फ़िगरेशन को कड़ा करना आवश्यक है।

रैबिटएमक्यू एक ओपन‑सोर्स मैसेज‑ब्रोकर है जिसे वेब अनुप्रयोगों, माइक्रोसर्विसेज़ और एंटरप्राइज़ इंटीग्रेशन परिदृश्यों में व्यापक रूप से उपयोग किया जाता है। इसकी लचीली रूटिंग, क्लस्टरिंग क्षमता और विभिन्न प्रोटोकॉल समर्थन इसे वित्तीय संस्थानों, टेलीकॉम कंपनियों और क्लाउड प्रदाताओं के बीच लोकप्रिय बनाता है। हालांकि, इसकी लोकप्रियता के साथ ही सुरक्षा जोखिम भी बढ़ते हैं, विशेषकर जब डिफ़ॉल्ट एक्सेस‑कंट्रोल सेटिंग्स को बदला नहीं जाता।

विलुप्तियों का विवरण

सुरक्षा टीम Miggo ने दो नई एसेस‑कंट्रोल कमजोरियों की रिपोर्ट की है। पहला बग ब्रोकर के OAuth इंटेग्रेशन में है, जहाँ अनधिकृत उपयोगकर्ता क्लाइंट सीक्रेट्स को पुनः प्राप्त कर सकते हैं। यह सीक्रेट्स अक्सर एंटरप्राइज़-स्तरीय API और सर्विस‑टू‑सर्विस प्रमाणीकरण में उपयोग होते हैं, इसलिए उनका लीक होना बौद्धिक संपदा और डेटा सुरक्षा दोनों के लिए गंभीर खतरा बनता है। दूसरा बग क्व्यू मेटाडाटा को उजागर करता है—विभिन्न टेनेंट्स के क्व्यू नाम, आकार और संदेश प्रवाह की जानकारी मिल सकती है, जिससे हमलावर टेनेंट सीमाओं को बायपास करके अन्य संस्थाओं के संदेशों तक पहुंच बना सकते हैं।

संभावित प्रभाव

इन दो कमजोरियों का संयुक्त प्रभाव अत्यधिक गंभीर माना जा रहा है। OAuth सीक्रेट के लीक होने से हमलावर ब्रोकर के माध्यम से प्रमाणित सेवाओं को अनुचित रूप से कॉल कर सकते हैं, जिससे डेटा इंटेग्रिटी और उपलब्धता दोनों पर असर पड़ता है। क्रॉस‑टेनेंट क्व्यू जानकारी का खुलासा करने से मल्टी‑टेनेंट क्लाउड वातावरण में सेवा डिनायल, मैसेज रेज़िंग या संवेदनशील व्यावसायिक जानकारी की चोरी संभव हो सकती है। विशेष रूप से, वित्तीय और स्वास्थ्य‑सेवा सेक्टर में इस प्रकार की लीक का आर्थिक और नियामक परिणाम बहुत बड़ा हो सकता है।

उपाय और सिफ़ारिशें

रैबिटएमक्यू के आधिकारिक विकासकर्ता ने तुरंत सुरक्षा पैच जारी कर दिया है, जिसे सभी उपयोगकर्ताओं को लागू करना चाहिए। पैच के अलावा, संगठनों को निम्नलिखित कदम उठाने चाहिए: (1) डिफ़ॉल्ट एसेस‑कंट्रोल सेटिंग्स को कस्टम रोल‑आधारित नीति में बदलें, (2) OAuth क्लाइंट सीक्रेट्स को रोटेट करें और उन्हें हार्ड‑एन्क्रिप्टेड स्टोरेज में रखें, (3) टेनेंट‑विच क्व्यू के मेटाडाटा एक्सेस को न्यूनतम विशेषाधिकार सिद्धांत के आधार पर सीमित करें, और (4) निरंतर सुरक्षा स्कैनिंग और लॉग मॉनिटरिंग द्वारा अनियमित व्यवहार का पता लगाएँ।

उद्योग की प्रतिक्रिया

क्लाउड सेवा प्रदाताओं और एंटरप्राइज़ सॉफ़्टवेयर विक्रेताओं ने इस रिपोर्ट को गंभीरता से लिया है और अपने ग्राहक पोर्टलों में पैच नोटिफिकेशन जारी किया है। कई बड़ी कंपनियों ने सुरक्षा टीमों को निर्देशित किया है कि वे तुरंत अपने रैबिटएमक्यू क्लस्टर की कॉन्फ़िगरेशन की समीक्षा करें और सुरक्षा बेस्ट प्रैक्टिसेज़ को अपनाएँ। यह घटना संदेश‑ओरिएंटेड मिडलवेयर की सुरक्षा के प्रति सतत जागरूकता की आवश्यकता को और उजागर करती है।