MongoDB vá lỗ hổng từ chối dịch vụ

MongoDB, một cơ sở dữ liệu NoSQL phổ biến được sử dụng trong dữ liệu lớn (big data) và phân tích môi trường vừa được vá một lỗ hổng từ chối dịch vụ nghiêm trọng có thể khai thác từ xa.

Các công ty sử dụng bản cài đặt mặc định của MongoDB không yêu cầu xác thực khi truy cập vào cơ sở dữ liệu cần cập nhật ngay phiên bản vá và cài đặt xác thực. Tin tặc sử dụng một truy vấn Shodan hoặc quét trên mạng Internet có thể dễ dàng tìm ra được máy chủ MongoDB bị ảnh hưởng. Theo trang web của MongoDB, các tổ chức lớn như MetLife, Bosch, Expedia và The Weather Channel có cơ sở dữ liệu sản phẩm dành cho rất nhiều khách hàng.

Các nhà nghiên cứu tại FortiGuard Labs phát hiện ra một lỗ hổng trong các thành phần khác nhau của MongoDB vào 20 và 23 tháng 2, ngay sau đó đã thông báo riêng cho MongoDB. “Tin tặc tiềm năng không cần xác thực hoặc có quyền truy cập cơ sở dữ liệu để khai thác lỗ hổng. Tất cả những gì chúng cần làm là gửi một packet tự tạo, một truy vấn regex đặc biệt để làm treo cơ sở dữ liệu.”.

Theo tài liệu của Fortinet, lỗ hổng nằm trong một thư viện PCRE cũ (8.30) thường được sử dụng trong truy vấn MongoDB. MoongoDB đã vá thư viện này trong phiên bản 3.0.1 và 2.6.9. Phiên bản mới nhất của MongoDB đi kèm với thư viện PCRE 8.36. “Phải nói rằng những tin tặc kĩ thuật cao hiểu về regex sẽ không tốn quá nhiều thời gian với kiểu tấn công này, đặc biệt là sau khi đã kiểm tra được code. Chúng có thể sẽ tự động hóa hoặc phát triển một plugin Metasploit khiến việc khai thác trở nên dễ dàng hơn.”

Có một vài cách mà tin tặc có thể thực hiện tấn công với lỗ hổng này. Thông thường chúng sẽ kết nối đến máy chủ MongoDB thông qua một truy vấn trang web hoặc sử dụng công cụ MongoDB client để kết nối. Tin tặc đặt một regex string vào nơi chứa dữ liệu đầu vào, MongoDB đọc và xử lí dữ liệu. Ngay sau khi gặp gói tin đó, máy chủ sẽ treo hoàn toàn. Nguy hiểm là hệ thống sẽ sập đến khi dịch vụ được khởi động lại và đôi khi cần can thiệp bằng tay từ quản trị viên.

threatpost