Datenbanken: Zero-Day-Lücke in MongoDB entdeckt

IT-ManagementIT-ProjekteSicherheitSicherheitsmanagement
MongoDB (Bild: MongoDB)

Die Lücke steckt in dem kurz als phpMoAdmin bezeichneten PHP MongoDB Administration Tool. Wer sie erfolgreich ausnutzt, kann Shell-Befehle wie “system”, “eval”, “exec” als Teil gewöhnlicher Nutzeranfragen anwenden. Trend Micro empfiehlt, den Zugriff auf das Admin-Interface zum Beispiel mit Firewall-Regeln auf berechtigte Nutzer zu beschränken.

Suraj Sahu, Vulnerability Research Engineer bei Trend Micro, hat Administratoren auf eine bislang unbekannte Sicherheitslücke in der Datenbank MongoDB hingewiesen. Sie steckt dem Experten zufolge im “PHP MongoDB Administration Tool” (kurz: phpMoAdmin). Das quelloffene und kostenlose Administrationswerkzeug dient der Verwaltung der Datenbank. Angreifer, die die Sicherheitslücke erfolgreich ausnutzen, können Sahu zufolge Systembefehle auf den MongoDB-Servern ausführen, ohne sich vorher als Administrator ausweisen und anmelden zu müssen.

Trend Micro hat eine Zero-Day-Lücke in MongoDB entdeckt (Bild: Trend Micro)

Bei der jetzt bekannt gewordenen Sicherheitslücke handelt es sich um einen so genannten Command-Injection-Fehler. Shell-Befehle wie “system”, “eval”, “exec” lassen sich dadurch als Teil gewöhnlicher Nutzeranfragen anwenden. Angreifer erhalten so also auch ohne sich Administratorenrechte verschaffen zu müssen, die Kontrolle über die Server. Sie können dann darauf Malware oder Spionagesoftware ausführen.

Da der Exploit der Sicherheitslücke einfach ist, empfiehlt Trend Mico, die Server sofort zu patchen oder die im Unternehmen verwendete Sicherheitslösung zu aktualisieren, um die Lücke zu schließen. Auch den Zugriff auf das Administrationsinterface zum Beispiel mit Firewall-Regeln auf berechtigte Quelladressen zu beschränken ist eine Möglichkeit.

Wie Trend Micro in seinem deutschsprachigen Blog erklärt, gibt es für Angreifer zwei Möglichkeiten, um die Sicherheitslücke auszunutzen: entweder über den “find”-Parameter oder den “object”-Parameter. Beide ermöglichten es jedoch, “beliebigen Code mit entsprechenden Code-Parameterwerten auf einem angreifbaren Server auszuführen.”

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen