Categories: Data

MongoDB mit gravierendem Zero-Day-Leck

Der Sicherheitsspezialist Trend Micro warnt aktuell vor einer Zero-Day-Lücke im kostenlosen “PHP MongoDB Administration Tool”. Das auch phpMoAdmin genannte quelloffene Administrationswerkzeug verwaltet die offene NoSQL-Datenbank MongoDB. Über eine Schwachstelle können Angreifer per Fernzugriff ohne Authentifizierung die Kontrolle über einen MongoDB-Server übernehmen und beliebigen Code ausführen.

Trend Micro warnt vor einem Sicherheitsleck in der Datenbankverwaltung phpMoAdmin, das sich unter anderem über den find-Parameter ausnutzen lässt. (Bild: Trend Micro)

Suraj Sahu, Vulnerability Research Engineer bei Trend Micro, erklärt in einem Blog erklärt, dass die die Sicherheitslücke in der phpMoAdmin-Datei “moadmin.php” bestehe. Konkret handelt es sich um einen so genannten Command-Injection-Fehler.

Shell-Befehle wie “system”, “eval” oder “exec” lassen sich dadurch als Teil gewöhnlicher Nutzeranfragen anwenden. Angreifer müssen sich also nicht zuerst Administratorenrechte verschaffen, um die Kontrolle über einen MongoDB-Server zu übernehmen. Anschließend können sie darauf zum Beispiel Malware oder Spionagesoftware ausführen.

Wie Trend Micro in seinem deutschsprachigen Blog erklärt, gibt es für Angreifer zwei Möglichkeiten, um die Sicherheitslücke auszunutzen: entweder über den “find”-Parameter oder den “object”-Parameter. Beide ermöglichten es jedoch, “beliebigen Code mit entsprechenden Code-Parameterwerten auf einem angreifbaren Server auszuführen”.

Da der Exploit der Sicherheitslücke einfach ist, empfiehlt Trend Mico, die Server sofort zu patchen oder die im Unternehmen verwendete Sicherheitslösung zu aktualisieren, um die Lücke zu schließen. Alternativ rät der Sicherheitsanbieter dazu, den Zugriff auf das Administrationsinterface beispielsweise mit Firewall-Regeln auf berechtigte Quelladressen zu beschränken.

Erst im Februar hatten Studenten der Universität des Saarlandes einen häufigen Konfigurationsfehler bei MongoDB aufgedeckt, durch den tausende Datenbanken ungesichert im Internet standen. Theoretisch konnte dadurch jedermann Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern online abrufen oder sogar verändern.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Was haben Sie über Datenbanken gespeichert? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Amazon Web Services führt virtuelle Ubuntu-Desktops ein

Sie basieren auf Ubuntu Pro 22.04 LTS. Amazon verlangt ab 23 Dollar pro Monat für…

7 Stunden ago

Las Vegas bekommt größtes privates 5G-Netzwerk in den USA

5G-Netzwerk soll Innovationen vorantreiben und als ein Modell für Städte und Unternehmen weltweit dienen.

9 Stunden ago

IT-Entscheidungen: Drum prüfe, wer sich ewig bindet

Internationale Studie von Gartner zeigt: Unternehmen bedauern oft ihre Kaufentscheidungen für IT-Lösungen.

9 Stunden ago

Deutsche Telekom unterstützt Ethereum Blockchain

Bereitstellung von Validierungsknoten für Ethereum-Netzwerk für Betrieb und Sicherheit von Blockchains.

10 Stunden ago

Gartner-Umfrage: Automatisierungsgrad steigt bis 2025 deutlich an

70 Prozent der Unternehmen werden bis 2025 Infrastruktur-Automatisierung implementieren.

10 Stunden ago

Sind synthetische Daten eine Alternative zu anonymisierten Daten?

"Traditionelle Verfahren der Anonymisierung funktionieren nicht mehr so gut", sagt Dr. Tobias Hann, CEO von…

11 Stunden ago