Az államigazgatás pánikol: kritikus MongoDB-sebezhetőség fenyeget

Az amerikai kiberbiztonsági hatóság kötelezte a kormányzati szerveket, hogy három héten belül javítsák ki a MongoBleed nevű, komoly sérülékenységet a MongoDB-rendszereikben. Ez a hiba, amely a hálózati adatcsomagok tömörítését végző zlib könyvtárat használó adatbázis-kezelőben jelent meg, lehetővé teszi, hogy a támadók hitelesítés nélkül is hozzáférhessenek érzékeny adatokhoz. Ilyen lehet például egy felhasználói jelszó, API- vagy felhőkulcs, belső naplófájl vagy személyazonosító adat. A támadások semmiféle felhasználói interakciót nem igényelnek, és gyorsan, egyszerűen végrehajthatók.

Több tízezer veszélyben lévő szerver

Egy kutatás szerint világszerte legalább 74 000 MongoDB-szerver érhető el az interneten úgy, hogy potenciálisan sebezhetők. Egyes elemzések szerint a felhőalapú rendszerekben az érintett verziók aránya eléri a 42 százalékot is, ami óriási kockázatot jelent az adatok biztonságára. Egy jól dokumentált, könnyen használható támadási példa (proof of concept) már elérhető az interneten, amellyel bárki érzékeny memóriaterületekhez férhet hozzá a nem frissített adatbázisokon keresztül.

Kötelező frissíteni vagy leállni

Az érintett hivatalok közé tartozik a Belügyminisztérium, a Pénzügyminisztérium, az Energiaügyi Minisztérium és az Egészségügyi Minisztérium is. A CISA figyelmeztetése szerint minden érintett szervezetnek haladéktalanul telepítenie kell a hibajavításokat a gyártók ajánlásai alapján, vagy – ha ez valamiért nem lehetséges – le kell állítania az érintett rendszert. Adminisztrátorok számára már elérhető egy eszköz is, amely segít a sebezhető példányok kiszűrésében a hálózaton belül.

Mindenhol ott van

A MongoDB-t világszerte több mint 62 500 szervezet használja, köztük Fortune 500 cégek tucatjai. A mostani hiba jól mutatja, hogy a népszerű, nyílt forráskódú technológiák mennyire sebezhetővé tehetik a kritikus rendszereket, ha nem gondoskodnak a folyamatos frissítésükről.

2025, adrienne, www.bleepingcomputer.com alapján