Author Topic: ระวังภัย ช่องโหว่ 0-day ใน MongoDB ผู้ไม่หวังดีสามารถสั่งประมวลผลคำสั่งอันตรายได้  (Read 1201 times)

0 Members and 1 Guest are viewing this topic.

Offline Nick

  • Administrator
  • Platinum Member
  • *
  • Posts: 46028
  • Karma: +1000/-0
  • Gender: Male
  • NickCS
    • http://www.facebook.com/nickcomputerservices
    • http://www.twitter.com/nickcomputer
    • Computer Chiangmai


เรื่อง: ระวังภัย ช่องโหว่ 0-day ใน MongoDB ผู้ไม่หวังดีสามารถสั่งประมวลผลคำสั่งอันตรายได้

ประเภทภัยคุกคาม: Intrusion

ข้อมูลทั่วไป

MongoDB เป็นโปรแกรมระบบฐานข้อมูลแบบ NoSQL ที่แจกจ่ายให้ใช้งานในลักษณะ Open-source โดยมีผู้พัฒนาคือบริษัท 10gen โปรแกรม MongoDB ถูกนำไปใช้เป็นระบบฐานข้อมูลในหลายๆ บริการ เช่น MTV Network, Foursquare เป็นต้น [1]

นักวิจัยจากบริษัท SCRT ได้ค้นพบช่องโหว่ของ MongoDB โดยช่องโหว่ที่พบนี้อยู่ในฟังก์ชัน NativeHelper ที่ใช้ในการประมวลผล Javascript ฟังก์ชันดังกล่าวนี้จะรับข้อมูล Javascript เข้าไปประมวลผลโดยไม่มีการตรวจสอบ ทำให้ผู้ไม่หวังดีสามารถส่งคำสั่งอันตรายเข้าไปประมวลผลที่ฝั่งเซิร์ฟเวอร์ได้ นักวิจัยได้แจ้งช่องโหว่ที่ค้นพบนี้ไปยังบริษัท 10gen แล้ว แต่ยังไม่มีการตอบกลับจากทาง 10gen [2]

อย่างไรก็ตาม ในโปรแกรม MongoDB เวอร์ชั่น 2.4 เป็นต้นมา ได้เปลี่ยนเอนจินที่ใช้ในการประมวลผล Javascript จาก SpiderMonkey มาเป็น Google V8 และได้ตัดฟังก์ชัน nativeHelper ออกไปแล้ว จึงไม่ได้รับผลกระทบจากช่องโหว่นี้ แต่ใน MongoDB เวอร์ชั่น 2.2.4 ซึ่งเป็นอัพเดตล่าสุดของเวอร์ชั่น 2.2.x ยังไม่ได้มีการแก้ไขปัญหานี้แต่อย่างใด [3]

นักวิจัยแจ้งว่าจะมีการเผยแพร่โมดูลสำหรับใช้ในการโจมตีผ่านช่องโหว่ดังกล่าวนี้ลงในโปรแกรม Metasploit ในอีกไม่นาน

ผลกระทบ

ผู้ไม่หวังดีสามารถส่งคำสั่งอันตรายเข้ามาประมวลผลที่เครื่องเซิร์ฟเวอร์ หรืออาจส่งคำสั่งเข้ามาเพื่อให้เซิร์ฟเวอร์ไม่สามารถให้บริการต่อได้

ระบบที่ได้รับผลกระทบ

MongoDB เวอร์ชั่น 2.2.4 และต่ำกว่า ทั้งเวอร์ชั่น 32 บิตและ 64 บิต

ข้อแนะนำในการป้องกันและแก้ไข

สำหรับผู้ที่ใช้งานโปรแกรม MongoDB เวอร์ชั่นที่ได้รับผลกระทบ เนื่องจากยังไม่มีการชี้แจงหรือการแก้ไขจากทางผู้พัฒนา หากเป็นไปได้ควรอัพเกรดโปรแกรม MongoDB ให้เป็นเวอร์ชั่น 2.4 ซึ่งเป็นเวอร์ชั่นที่ได้รับการแก้ไขปัญหาดังกล่าวแล้ว แต่หากทำไม่ได้ควรตรวจสอบข้อมูลจากเว็บไซต์ของผู้พัฒนาอยู่อย่างสม่ำเสมอ และหากมีการเผยแพร่ซอฟต์แวร์เวอร์ชั่นที่แก้ไขปัญหานี้แล้วควรทำการอัพเดตโดยเร็วที่สุด

อ้างอิง

http://www.mongodb.org/
http://blog.scrt.ch/2013/03/24/mongodb-0-day-ssji-to-rce/
http://www.h-online.com/security/news/item/MongoDB-Exploit-on-the-net-Metasploit-in-the-making-1829690.html

ที่มา: http://www.thaicert.or.th/alerts/admin/2013/al2013ad004.html


 
Share this topic...
In a forum
(BBCode)
In a site/blog
(HTML)