Trend Micro warnt MongoDB-Administratoren vor Zero-Day-Lücke

Angreifer können ohne Authentifizierung Serverkontrolle übernehmen

(PresseBox) ( Hallbergmoos, )
Trend Micro warnt vor einer Zero-Day-Sicherheitslücke im "PHP MongoDB Administration Tool" (kurz: phpMoAdmin). Das quelloffene und kostenlose Administrationswerkzeug dient der Verwaltung der ebenfalls quelloffenen noSQL-Datenbank MongoDB. Aufgrund einer Sicherheitslücke in der phpMoAdmin-Datei "moadmin.php" können Angreifer Systembefehle auf den MongoDB-Servern ausführen, ohne sich vorher als Administrator ausweisen und anmelden zu müssen.

Bei der Lücke handelt es sich um einen so genannten Command-Injection-Fehler. Dadurch lassen sich Shell-Befehle wie "system", "eval", "exec" als Teil gewöhnlicher Nutzeranfragen anwenden. So erhalten Angreifer auch ohne Administratorenrechte die Kontrolle über die Server und können darauf Schädlinge oder Spionagesoftware ausführen.

Trend Micro empfiehlt daher, den Zugriff auf das Administrationsinterface z. B. mit Firewall-Regeln auf berechtigte Quelladressen zu beschränken.

Anwender von "Deep Security" sind vor dieser Bedrohung geschützt, wenn sie die über das Update "DSRU15-008" ausgelieferte Regel "1006559 -PHPMoAdmin Unauthorized Remote Code Execution Vulnerability" anwenden.

Weitere Informationen

Weitere Details zur Zero-Day-Lücke in "phpMoAdmin" sind im deutschsprachigen Trend Micro-Blog erhältlich.
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.