Clear
Lead Graphic Papers

ระวังภัย ช่องโหว่ 0-day ใน MongoDB ผู้ไม่หวังดีสามารถสั่งประมวลผลคำสั่งอันตรายได้

วันที่ประกาศ: 26 มีนาคม 2556
ปรับปรุงล่าสุด: 26 มีนาคม 2556
เรื่อง: ระวังภัย ช่องโหว่ 0-day ใน MongoDB ผู้ไม่หวังดีสามารถสั่งประมวลผลคำสั่งอันตรายได้

ประเภทภัยคุกคาม: Intrusion

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

MongoDB เป็นโปรแกรมระบบฐานข้อมูลแบบ NoSQL ที่แจกจ่ายให้ใช้งานในลักษณะ Open-source โดยมีผู้พัฒนาคือบริษัท 10gen โปรแกรม MongoDB ถูกนำไปใช้เป็นระบบฐานข้อมูลในหลายๆ บริการ เช่น MTV Network, Foursquare เป็นต้น [1]

นักวิจัยจากบริษัท SCRT ได้ค้นพบช่องโหว่ของ MongoDB โดยช่องโหว่ที่พบนี้อยู่ในฟังก์ชัน NativeHelper ที่ใช้ในการประมวลผล Javascript ฟังก์ชันดังกล่าวนี้จะรับข้อมูล Javascript เข้าไปประมวลผลโดยไม่มีการตรวจสอบ ทำให้ผู้ไม่หวังดีสามารถส่งคำสั่งอันตรายเข้าไปประมวลผลที่ฝั่งเซิร์ฟเวอร์ได้ นักวิจัยได้แจ้งช่องโหว่ที่ค้นพบนี้ไปยังบริษัท 10gen แล้ว แต่ยังไม่มีการตอบกลับจากทาง 10gen [2]

อย่างไรก็ตาม ในโปรแกรม MongoDB เวอร์ชั่น 2.4 เป็นต้นมา ได้เปลี่ยนเอนจินที่ใช้ในการประมวลผล Javascript จาก SpiderMonkey มาเป็น Google V8 และได้ตัดฟังก์ชัน nativeHelper ออกไปแล้ว จึงไม่ได้รับผลกระทบจากช่องโหว่นี้ แต่ใน MongoDB เวอร์ชั่น 2.2.4 ซึ่งเป็นอัพเดตล่าสุดของเวอร์ชั่น 2.2.x ยังไม่ได้มีการแก้ไขปัญหานี้แต่อย่างใด [3]

นักวิจัยแจ้งว่าจะมีการเผยแพร่โมดูลสำหรับใช้ในการโจมตีผ่านช่องโหว่ดังกล่าวนี้ลงในโปรแกรม Metasploit ในอีกไม่นาน

ผลกระทบ

ผู้ไม่หวังดีสามารถส่งคำสั่งอันตรายเข้ามาประมวลผลที่เครื่องเซิร์ฟเวอร์ หรืออาจส่งคำสั่งเข้ามาเพื่อให้เซิร์ฟเวอร์ไม่สามารถให้บริการต่อได้

ระบบที่ได้รับผลกระทบ

MongoDB เวอร์ชั่น 2.2.4 และต่ำกว่า ทั้งเวอร์ชั่น 32 บิตและ 64 บิต

ข้อแนะนำในการป้องกันและแก้ไข

สำหรับผู้ที่ใช้งานโปรแกรม MongoDB เวอร์ชั่นที่ได้รับผลกระทบ เนื่องจากยังไม่มีการชี้แจงหรือการแก้ไขจากทางผู้พัฒนา หากเป็นไปได้ควรอัพเกรดโปรแกรม MongoDB ให้เป็นเวอร์ชั่น 2.4 ซึ่งเป็นเวอร์ชั่นที่ได้รับการแก้ไขปัญหาดังกล่าวแล้ว แต่หากทำไม่ได้ควรตรวจสอบข้อมูลจากเว็บไซต์ของผู้พัฒนาอยู่อย่างสม่ำเสมอ และหากมีการเผยแพร่ซอฟต์แวร์เวอร์ชั่นที่แก้ไขปัญหานี้แล้วควรทำการอัพเดตโดยเร็วที่สุด

อ้างอิง

  1. http://www.mongodb.org/
  2. http://blog.scrt.ch/2013/03/24/mongodb-0-day-ssji-to-rce/
  3. http://www.h-online.com/security/news/item/MongoDB-Exploit-on-the-net-Metasploit-in-the-making-1829690.html

Clear