heise PlusAbo
Anzeige

MongoBleed-Scanner fĂĽr Admins

Viele MongoDB-Instanzen sind oder waren potenziell für MongoBleed anfällig. Ein Tool hilft bei der Server-Analyse auf Angriffsspuren.

vorlesen Druckansicht
Lupe, unter der sich ein Warndreieck befindet.

(Bild: Dilok Klaisataporn/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Die hochriskante Sicherheitslücke in der Datenbank MongoDB, die um Weihnachten herum bekannt und seitdem bereits angegriffen wurde, lässt sich mit aktualisierter Software oder Konfigurationsänderungen schließen. Zu Silvester waren jedoch noch zigtausend potenziell verwundbare Instanzen im Netz erreichbar. Die Untersuchung, ob die eigenen Server bereits angegriffen und möglicherweise gar kompromittiert wurden, war bislang etwas mühselig. Das ändert ein kleines Tool von Florian Roth namens „MongoBleed Detector“.

MongoBleed Detector steht auf Github bereit und wird vom Autor weitergepflegt. Nach dem Aktualisieren des MongoDB-Servers empfiehlt sich die Untersuchung der Datenbank damit, um möglichen Missbrauch der MongoBleed-Schwachstelle CVE-2025-14847 aufzuspüren.

Das Tool kennt dafür mehrere Modi. Neben einer Log-Korrelation etwa durch Verbindungsereignisse und fehlenden Meta-Daten dazu (was lediglich mit einem bestimmten Proof-of-Concept-Exploit so stattfindet) können Admins damit Schnappschüsse mittels serverStatus.asserts untersuchen. Das haben IT-Forscher als verlässlichen Indikator für Angriffsversuche aufgrund eines um mehrere Größenordnungen höheren Werts für „user“ ausgemacht. Die dort ebenfalls vorgestellte Analyse auf Basis des Full-Time Diagnostic Data Capture (FTDC) MongoDB-Subsystems lässt sich schließlich als dritte Erkennungsmethode von MongoBleed Detector nutzen.

Lokal und Remote einsetzbar

Der MongoBleed Detector analysiert lokale MongoDB-Daten, kann jedoch mit einer Datei mit Hosts mit einem weiteren Script mongobleed-remote.py auch auf entfernte Systeme mittels SSH zugreifen und diese untersuchen. Auf der Github-Seite des Projekts erklärt Roth die Funktionen und Optionen ausführlich.

Videos by heise

Florian Roth ist in IT-Sicherheitskreisen kein Unbekannter. Er programmiert auch das Tool „Thor“, mit dem sich Systeme auf Hinweise auf Kompromittierung (Indicators of Compromise, IOCs) untersuchen lassen. Das Analysewerkzeug ist auch in der „Thor Lite“-Version in c’t-Desinfec’t enthalten.

(dmk)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten