« Schlüssel sind tod? | Blog | Endlich Online »

MongoDB: der GAU

Dienstag 10 Februar 2015 von Rainer W. Gerling

Drei Cybersicherheit-Studenten der Universität des Saarlandes endeckten eine Sicherheitslücke und arbeiteten sie mit Wissenschaftlern des CISPA auf. Mehrere Zehntausend unzulänglich konfigurierte Instanzen der Datenbank MongoDB standen offen im Netz. Damit war im Extremfall der Zugriff auch auf mehere Millionen personenbezogene Datensätze möglich. Kundendaten oder Live-Daten von Webshops mit Kreditkarten Informationen lagen frei zugänglich im Netz.Technische Details und Hintergrundinformationen finden sich hier. Die Firma hinter der MangoDB legt Wert auf die Feststellung, dass es sich nicht um eine Sicherheitslücke in der Software ahndelt, sondern um einen Konfigurationsfehelr der Anwender. Eine offene Frage ist, wie deutlich die Installationsanleitung auf die Gefahr der fehlerhaften Konfiguration hinweist.

Mittlerweile hat die Fa. MongoDB, Inc. detaillierte "Sicherheits-Empfehlungen für MongoDB" in Netz gestellt. Einen direkten ins Auge fallenden Link auf der Homepage sucht man allerdings vergeblich.

Per Default-Installation einer beliebten Installationsvariante wird eine MongoDB so aufgesetzt, dass sie nur auf dem virtuellen Netzwer-Interface "localhost (127.0.0.1)" auf Verbindungen wartet. Alle Zugriffe erfolgen lokal und um die IT-Sicherheit muss man sich vermeintlcih keine großen Gedanken machen. Löscht man in der Konfigurationsdatei diesen Eintrag, wartet die Datenbank auf allen Netzwerk-Interfaces auf Verbindungen. Ändert man die IP-Adresse auf eine offizille im Internet erreichbare Adresse, ändert sich nicht automatisch der Schutz des Zugriffs mit. Dies muss zuätzlich konfiguriert werden.

Dies wäre immer noch kein Problem, wenn einen Instanz der MongoDB hinter einer Firewall, die alle Zugriffe auf die Datenbank blockt, betrieben würdr. Dies war aber offensichtlich nicht immer der Fall.

Ein weiteres Szenario ist aber weitaus gefährlicher: Der Betrieb der Datenbank bei einem Dienstleister in der Cloud. Dann muss beim Dienstleister der Zugriff auf die Datenbank auf die IP-Adressen der Anwendung, die die Datenbank nutzt, beschränkt werden. Zusätzlcih sollte per VPN-Verbindung die Abhörbarkeit der Kommunikation abgestellt werden.

Alles dies (total einfach) sind effektive Massnahmen, die ohne Passowrtschutz der Datenbank auskommen. Sie wurden aber in knapp 40.000 Fällen nicht beachtet. Kann ein Administrator nur noch eine Anleitung abarbeiten ohne wirklich zu verstehen, was er da tut? Und versteht er dann auch nicht, wie sich dies auf die IT-Infrastruktur des Unternehmens auswirkt?

Seit 2004 sammelt die Shadow Server Foundation "Daten aus der dunkleren Seite des Internet". Unter der Rubrik "Protocols That Should not be Exposed" wird jetzt (seit dem 13.2.15) auch regelmäßig nach den Ports der MongoDB gescannt. Nach REDIS (seit 21.1.15) und MemCached (seit 23.1.15) wird schon etwas länger gescannt.

Kategorien: IT-Sicherheit