เรื่อง:
ระวังภัย ช่องโหว่ 0-day ใน MongoDB ผู้ไม่หวังดีสามารถสั่งประมวลผลคำสั่งอันตรายได้ประเภทภัยคุกคาม: Intrusion
ข้อมูลทั่วไปMongoDB เป็นโปรแกรมระบบฐานข้อมูลแบบ NoSQL ที่แจกจ่ายให้ใช้งานในลักษณะ Open-source โดยมีผู้พัฒนาคือบริษัท 10gen โปรแกรม MongoDB ถูกนำไปใช้เป็นระบบฐานข้อมูลในหลายๆ บริการ เช่น MTV Network, Foursquare เป็นต้น [1]
นักวิจัยจากบริษัท SCRT ได้ค้นพบช่องโหว่ของ MongoDB โดยช่องโหว่ที่พบนี้อยู่ในฟังก์ชัน NativeHelper ที่ใช้ในการประมวลผล Javascript ฟังก์ชันดังกล่าวนี้จะรับข้อมูล Javascript เข้าไปประมวลผลโดยไม่มีการตรวจสอบ ทำให้ผู้ไม่หวังดีสามารถส่งคำสั่งอันตรายเข้าไปประมวลผลที่ฝั่งเซิร์ฟเวอร์ได้ นักวิจัยได้แจ้งช่องโหว่ที่ค้นพบนี้ไปยังบริษัท 10gen แล้ว แต่ยังไม่มีการตอบกลับจากทาง 10gen [2]
อย่างไรก็ตาม ในโปรแกรม MongoDB เวอร์ชั่น 2.4 เป็นต้นมา ได้เปลี่ยนเอนจินที่ใช้ในการประมวลผล Javascript จาก SpiderMonkey มาเป็น Google V8 และได้ตัดฟังก์ชัน nativeHelper ออกไปแล้ว จึงไม่ได้รับผลกระทบจากช่องโหว่นี้ แต่ใน MongoDB เวอร์ชั่น 2.2.4 ซึ่งเป็นอัพเดตล่าสุดของเวอร์ชั่น 2.2.x ยังไม่ได้มีการแก้ไขปัญหานี้แต่อย่างใด [3]
นักวิจัยแจ้งว่าจะมีการเผยแพร่โมดูลสำหรับใช้ในการโจมตีผ่านช่องโหว่ดังกล่าวนี้ลงในโปรแกรม Metasploit ในอีกไม่นาน
ผลกระทบผู้ไม่หวังดีสามารถส่งคำสั่งอันตรายเข้ามาประมวลผลที่เครื่องเซิร์ฟเวอร์ หรืออาจส่งคำสั่งเข้ามาเพื่อให้เซิร์ฟเวอร์ไม่สามารถให้บริการต่อได้
ระบบที่ได้รับผลกระทบMongoDB เวอร์ชั่น 2.2.4 และต่ำกว่า ทั้งเวอร์ชั่น 32 บิตและ 64 บิต
ข้อแนะนำในการป้องกันและแก้ไขสำหรับผู้ที่ใช้งานโปรแกรม MongoDB เวอร์ชั่นที่ได้รับผลกระทบ เนื่องจากยังไม่มีการชี้แจงหรือการแก้ไขจากทางผู้พัฒนา หากเป็นไปได้ควรอัพเกรดโปรแกรม MongoDB ให้เป็นเวอร์ชั่น 2.4 ซึ่งเป็นเวอร์ชั่นที่ได้รับการแก้ไขปัญหาดังกล่าวแล้ว แต่หากทำไม่ได้ควรตรวจสอบข้อมูลจากเว็บไซต์ของผู้พัฒนาอยู่อย่างสม่ำเสมอ และหากมีการเผยแพร่ซอฟต์แวร์เวอร์ชั่นที่แก้ไขปัญหานี้แล้วควรทำการอัพเดตโดยเร็วที่สุด
อ้างอิง
http://www.mongodb.org/http://blog.scrt.ch/2013/03/24/mongodb-0-day-ssji-to-rce/http://www.h-online.com/security/news/item/MongoDB-Exploit-on-the-net-Metasploit-in-the-making-1829690.htmlที่มา:
http://www.thaicert.or.th/alerts/admin/2013/al2013ad004.html