Organizations Warned About DoS Flaws in Popular Open Source Message Brokers
2021/06/08 SecurityWeek — オープンソースのメッセージ・ブローカーとして広く利用されている、RabbitMQ / EMQ X / VerneMQ において、サービス拒否 (DoS) の脆弱性が発見され、各種の企業に警告が出されている。メッセージ・ブローカーは、フォーマルなプロトコル間でメッセージを変換することで、アプリケーション/システム/サービスなどが通信し、また、情報を交換するものだ。
そのプロトコルの1つが MQTT (Message Queuing Telemetry Transport) である。Synopsys Cybersecurity Research Center の研究者たちは、特別に細工された MQTT メッセージが、RabbitMQ (VMware) / EMQ X / VerneMQ で過剰なメモリ消費を引き起こし、OSがアプリケーションを終了させる原因となることを発見した。
DoS を引き起こす不正なメッセージの種類は、3つのメッセージ・ブローカーごとに特定されており、すべてのブローカーに影響を与える単一のメッセージは存在しないようだ。この、深刻度が High と評価された脆弱性は、CVE-2021-22116 (RabbitMQ) / CVE-2021-33175 (EMQ X) / CVE-2021-33176 (VerneMQ) として追跡されており、それぞれに対して、4月 / 3月 / 5月にパッチが適用されている。
この脆弱性を発見した研究者の Jonathan Knudsen は、「メッセージ・ブローカーは、複雑なシステムの中枢となり得る。メッセージ・ブローカーが動作しないと、システム上の各種コンポーネント間の通信できなくなる。メッセージ・ブローカーが復旧するまで、そのシステムで提供されているサービスは、すべて利用できなくなる」と、SecurityWeek に述べています。
IoT OT Security News 