Eine hochriskante Sicherheitslücke in MongoDB wird derzeit aktiv ausgenutzt. Allein in Deutschland sind über 11.500 öffentlich erreichbare Datenbank-Instanzen verwundbar – weltweit sind es zehntausende Systeme.

Weit verbreitete Sicherheitslücke mit hohem Schadenspotenzial

Kurz vor Weihnachten wurde eine schwerwiegende Schwachstelle in dem weit verbreiteten NoSQL-Datenbanksystem MongoDB bekannt, die unter dem Namen „MongoBleed“ geführt wird. Die Lücke erlaubt es Angreifern, ohne vorherige Authentifizierung aus der Ferne sensible Informationen aus dem Arbeitsspeicher betroffener Datenbanken auszulesen.

Besonders kritisch ist dabei, dass für einen erfolgreichen Angriff lediglich die IP-Adresse einer erreichbaren MongoDB-Instanz benötigt wird. Weder Zugangsdaten noch Benutzerinteraktion sind erforderlich. Die Schwachstelle wird mit einem hohen Risikoscore von 8,7 Punkten (CVSS) bewertet und gilt als aktiv ausgenutzt.

Deutschland besonders stark betroffen

Untersuchungen öffentlich erreichbarer MongoDB-Server zeigen ein deutliches Ausmaß: Weltweit sind rund 90.000 Instanzen weiterhin anfällig. Deutschland liegt mit über 11.500 verwundbaren Systemen auf einem der vorderen Plätze im internationalen Vergleich.

Auffällig ist zudem die Verteilung nach Hosting-Anbietern. Ein erheblicher Teil der betroffenen Systeme wird bei großen Cloud- und Hosting-Providern betrieben. Die Schwachstelle betrifft insbesondere Instanzen, bei denen die zlib-Kompression aktiv ist – eine Einstellung, die in vielen Umgebungen zur Standardkonfiguration gehört.

Technischer Hintergrund: Zugriff auf nicht initialisierten Speicher

Die Ursache der Sicherheitslücke liegt in der fehlerhaften Verarbeitung zlib-komprimierter Netzwerkdaten. Durch speziell präparierte Anfragen kann es dazu kommen, dass MongoDB nicht initialisierten Heap-Speicher an den anfragenden Client zurückgibt.

In diesem Speicher können sich unter anderem befinden:

• Datenbank-Zugangsdaten (teilweise im Klartext)

• API- und Cloud-Schlüssel

• Sitzungstoken

• Konfigurationsdaten

• Personenbezogene oder geschäftskritische Informationen

Da Datenbanken häufig als zentrale Infrastrukturkomponenten fungieren, kann ein erfolgreicher Angriff weitreichende Folgen haben – bis hin zu weiterführenden Angriffen innerhalb interner Netze.

Öffentlicher Exploit erhöht Missbrauchsrisiko

Die Lage verschärfte sich zusätzlich durch die Veröffentlichung eines funktionsfähigen Proof-of-Concept-Exploits, der den Missbrauch der Schwachstelle erheblich vereinfacht. Sicherheitsforscher gehen davon aus, dass die Hürde für Angriffe dadurch deutlich gesunken ist und mit einer weiteren Zunahme automatisierter Scan- und Angriffskampagnen zu rechnen ist.

Beobachtungen zeigen, dass Angriffe häufig durch extrem hohe Verbindungsraten auffallen, bei denen zehntausende Verbindungen pro Minute aufgebaut werden, um Speicherinhalte auszulesen.

Sicherheitsupdates verfügbar – ältere Versionen bleiben verwundbar

Für alle unterstützten MongoDB-Versionen stehen inzwischen korrigierte Releases zur Verfügung. Ältere Versionen, die das Ende ihres Lebenszyklus erreicht haben, erhalten hingegen keine Sicherheitsupdates mehr und bleiben dauerhaft angreifbar. Besonders kritisch ist, dass viele MongoDB-Instanzen weiterhin direkt aus dem Internet erreichbar sind – ein seit Jahren bekanntes, aber immer noch verbreitetes Sicherheitsproblem.