Saarbrücker Studenten finden riesiges Sicherheitsloch

Saarbrücker Studenten finden riesiges Sicherheitsloch in 40.000 Webseiten

Drei Studenten des Center for IT-Security, Privacy and Accountability (CISPA) der Universität des Saarlandes (UdS) haben ein riesiges Sicherloch in knapp 40.000 hauptsächlich deutschen und französischen Webseiten gefunden.

Kai Greshake, Eric Petryka and Jens Heyens stießen während der Suche nach Installationen der beliebten und weitverbreiteten Open Source Datenbank MongoDB auf insgesamt 39.890 Webseiten, deren MongoDB-Instanzen völlig ungesichert und frei zugänglich waren. Ihnen war es möglich, komplette Kundendaten auszulesen und sogar zu verändern.

Hierbei handle es sich nicht um einen Fehler in der Datenbanksoftware, sondern schlicht um falsch konfigurierte Installationen.

Weltweite Verteilung der entdeckten ungeschützten MongoDB-Installationen (Quelle: CISPA/J. Heyens, K. Greshake, E. Petryka)

Weltweite Verteilung der entdeckten ungeschützten MongoDB-Installationen
(Quelle: CISPA/J. Heyens, K. Greshake, E. Petryka)

Unter den Webseiten sei sogar ein großer französicher Internet- und Mobilfunk-Provider, so Michael Backes, Direktor des CISPA. In dieser ungeschützten Datenbank befanden sich komplette Datensätze – inklusive Kontodaten – von etwa 7,5 Millionen französischen und einer halben Million deutschen Kunden.

MongoDB Inc., verschiedene CERTs (Computer Emergency Response Team), die französische Commission nationale de l’informatique et des libertés (CNIL) sowie das deutsche Bundesamt für Sicherheit in der Informationstechnologie (BSI) wurden umgehend nach Bekanntwerden der Sicherheitslücke vom CISPA alarmiert.

Da MongoBD standardmäßig auf Port 27017 des Webservers läuft, mussten die Studenten nur mittels Port-Scan nach im Internet erreichbaren Servern suchen. Dies sei innerhalb weniger Stunden möglich gewesen, so berichten sie in ihrem veröffentlichten Paper. Noch einfacher sei es, mittels der Suchmaschine Shodan nach IP-Adressen zu suchen, für die bereits eine Liste offener Ports verliege. Nach dem erhalt der Liste von IP-Adressen habe man sich auf einer Unix-Shell mittels des folgenden Befehls einfach mit den Datenbanken verbinden können:
$ mongo $IP

Außerdem, so berichteten die Studenten, sei es wahrscheinlich, dass weit mehr MongoDB-Installationen offen zugänglich wären, da die Liste der ermittelten IP-Adressen mit Sicherheit nicht vollständig sei. Andererseits seien allerdings auch einige der gefundenen Installationen absichtlich offen gewesen, möglicherweise um als Honeypots zu fungieren. Dies wird wohl aber nur in einem kleinen Bruchteil der Fall sein.

Offizielle Pressemeldung inkl. Informationen zum Beheben der Sicherheitslücke

Bisher eine Reaktion auf diesen Artikel

  1. 11. Februar 2015

    […] Saarbrücker Studenten finden riesiges Sicherheitsloch […]

Ihre Meinung zu diesem Artikel?

Ihre E-Mailadresse wird niemals veröffentlicht oder anderweitig Dritten zugänglich gemacht.