18 mar. 2015

Explotación del reciente 0-day de phpMoAdmin (MongoDB GUI)

MongoDB, una de las principales plataformas NoSQL de la Web, es una alternativa popular a las bases de datos relacionales basadas ​​en tablas. Una de las herramientas visuales utilizadas para gestionar MongoDB, phpMoAdmin, tiene una vulnerabilidad grave que, si se explota, permite a un atacante ejecutar comandos en el servidor (RCE).

Escrito en PHP, phpMoAdmin es similar a phpMyAdmin, ya que provee una interfaz gráfica de usuario que los desarrolladores y los administradores pueden utilizar para diversas tareas de base de datos. Sin embargo, mientras que phpMyAdmin tiene una comunidad fuerte de desarrollo (dados sus vínculos con MySQL), phpMoAdmin no se ha actualizado en dos años.

Recientemente, un tal "sp1nlock" descubrió que había un fallo grave en el código phpMoAdmin. Como se ha mencionado, si este fallo se pudiera aprovechar, permitiría a un atacante ejecutar comandos en el servidor. El fallo se hizo público a principios de este mes y algunos administradores ya han comenzado a reportar intentos de explotación.
No está claro si los desarrolladores de phpMoAdmin son conscientes del problema. Sin embargo, ya se estaba vendiendo el exploit alrededor de una semana antes de que se desarrollara y publicara un módulo de Metasploit.

El fallo se centra en el uso de scripts que usan eval() en peticiones GET:
eval('$find = ' . $_GET['find'] . ';');

En esa parte, el fallo puede ser desencadenarse por la alteración de la variable $action.

El proyecto phpMoAdmin está inactivo y posiblemente abandonado. Sin embargo seguimos habiendo unos cuantos publicados en Internet:

inurl:moadmin.php?db=inurl:moadmin.php
inurl:wu-moadmin.php?db=


La única manera de estar "a salvo" es restringir el acceso a phpMoAdmin o cambiarlo por herramienta GUI como RockMongo, MongoVUE, Mongo-Express o UMongo.

Fuentes:

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!