Datenbanken: Zero-Day-Lücke in MongoDB entdeckt

Peter Marwan,
IT-ManagementIT-ProjekteSicherheitSicherheitsmanagement
MongoDB (Bild: MongoDB)

Suraj Sahu, Vulnerability Research Engineer bei Trend Micro, hat Administratoren auf eine bislang unbekannte Sicherheitslücke in der Datenbank MongoDB hingewiesen. Sie steckt dem Experten zufolge im “PHP MongoDB Administration Tool” (kurz: phpMoAdmin). Das quelloffene und kostenlose Administrationswerkzeug dient der Verwaltung der Datenbank. Angreifer, die die Sicherheitslücke erfolgreich ausnutzen, können Sahu zufolge Systembefehle auf den MongoDB-Servern ausführen, ohne sich vorher als Administrator ausweisen und anmelden zu müssen.

Trend Micro hat eine Zero-Day-Lücke in MongoDB entdeckt (Bild: Trend Micro)

Bei der jetzt bekannt gewordenen Sicherheitslücke handelt es sich um einen so genannten Command-Injection-Fehler. Shell-Befehle wie “system”, “eval”, “exec” lassen sich dadurch als Teil gewöhnlicher Nutzeranfragen anwenden. Angreifer erhalten so also auch ohne sich Administratorenrechte verschaffen zu müssen, die Kontrolle über die Server. Sie können dann darauf Malware oder Spionagesoftware ausführen.

Da der Exploit der Sicherheitslücke einfach ist, empfiehlt Trend Mico, die Server sofort zu patchen oder die im Unternehmen verwendete Sicherheitslösung zu aktualisieren, um die Lücke zu schließen. Auch den Zugriff auf das Administrationsinterface zum Beispiel mit Firewall-Regeln auf berechtigte Quelladressen zu beschränken ist eine Möglichkeit.

Wie Trend Micro in seinem deutschsprachigen Blog erklärt, gibt es für Angreifer zwei Möglichkeiten, um die Sicherheitslücke auszunutzen: entweder über den “find”-Parameter oder den “object”-Parameter. Beide ermöglichten es jedoch, “beliebigen Code mit entsprechenden Code-Parameterwerten auf einem angreifbaren Server auszuführen.”

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Lesen Sie auch :

Exasol bringt Big Data in die Hosentasche

Microsoft bringt Datenbanksoftware SQL Server auf Linux

Oracle kündigt leistungsfähigere Version von MySQL an
Peter Marwan
Autor: Peter Marwan
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen