Trend Micro warnt vor Zero-Day-Lücke in MongoDB-Verwaltung

Sie steckt im kostenlosen "PHP MongoDB Administration Tool" oder kurz phpMoAdmin. Angreifer können die Schwachstelle ausnutzen, um ohne Authentifizierung Systembefehle auf MongoDB-Servern auszuführen. Der Zugriff auf das Admin-Interface sollte daher auf berechtigte Nutzer beschränkt werden.

Trend Micro hat eine Zero-Day-Lücke im kostenlosen „PHP MongoDB Administration Tool“ oder kurz phpMoAdmin entdeckt. Das quelloffene Administrationswerkzeug dient zur Verwaltung der ebenfalls freien NoSQL-Datenbank MongoDB. Angreifer können aufgrund der Schwachstelle per Fernzugriff ohne Authentifizierung die Kontrolle über einen MongoDB-Server übernehmen und beliebigen Code ausführen.

Logo von MongoDB

Wie Suraj Sahu, Vulnerability Research Engineer bei Trend Micro, in einem Blogeintrag erklärt, steckt die Sicherheitslücke in der phpMoAdmin-Datei „moadmin.php“. Konkret handelt es sich um einen so genannten Command-Injection-Fehler.

Shell-Befehle wie „system“, „eval“ oder „exec“ lassen sich dadurch als Teil gewöhnlicher Nutzeranfragen anwenden. Angreifer müssen sich also nicht zuerst Administratorenrechte verschaffen, um die Kontrolle über einen MongoDB-Server zu übernehmen. Anschließend können sie darauf Malware oder Spionagesoftware ausführen.

Wie Trend Micro in seinem deutschsprachigen Blog erklärt, gibt es für Angreifer zwei Möglichkeiten, um die Sicherheitslücke auszunutzen: entweder über den „find“-Parameter oder den „object“-Parameter. Beide ermöglichten es jedoch, „beliebigen Code mit entsprechenden Code-Parameterwerten auf einem angreifbaren Server auszuführen“.

Da der Exploit der Sicherheitslücke einfach ist, empfiehlt Trend Mico, die Server sofort zu patchen oder die im Unternehmen verwendete Sicherheitslösung zu aktualisieren, um die Lücke zu schließen. Alternativ rät der Sicherheitsanbieter dazu, den Zugriff auf das Administrationsinterface beispielsweise mit Firewall-Regeln auf berechtigte Quelladressen zu beschränken.

Erst im Februar hatten Studenten der Universität des Saarlandes einen häufigen Konfigurationsfehler bei MongoDB aufgedeckt, durch den tausende Datenbanken ungesichert im Internet standen. Theoretisch konnte dadurch jedermann Millionen Kundendaten mit Namen, Adressen, E-Mails und Kreditkartennummern online abrufen oder sogar verändern.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Was haben Sie über Datenbanken gespeichert? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Datenbank, MongoDB, Open Source, Trend Micro

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Trend Micro warnt vor Zero-Day-Lücke in MongoDB-Verwaltung

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *