MongoDB-Sicherheitsmitteilung

 (mongodb.com)
2 Punkte von GN⁺ 2023-12-18 | 1 Kommentare | Auf WhatsApp teilen

MongoDB-Sicherheitsmitteilung

  • Bei MongoDB gibt es aufgrund einer erhöhten Zahl von Login-Versuchen Probleme bei den Anmeldungen für Atlas und das Support-Portal. Dies steht nicht im Zusammenhang mit einem Sicherheitsvorfall. Falls es Schwierigkeiten bei der Anmeldung gibt, wird empfohlen, es einige Minuten später erneut zu versuchen.
  • MongoDB untersucht derzeit einen Sicherheitsvorfall, der unbefugten Zugriff auf bestimmte Unternehmenssysteme umfasst. Dabei wurden Metadaten von Kundenkonten und Kontaktinformationen offengelegt. Am Mittwochabend wurde verdächtige Aktivität erkannt und umgehend das Incident-Response-Verfahren aktiviert. Eine Offenlegung von in MongoDB Atlas gespeicherten Kundendaten ist nach aktuellem Kenntnisstand nicht bekannt. Kunden wird jedoch empfohlen, wachsam gegenüber Social-Engineering- und Phishing-Angriffen zu sein, phishing-resistente Multi-Faktor-Authentifizierung (MFA) zu aktivieren und ihre MongoDB-Atlas-Passwörter regelmäßig zu ändern.

Zur Datenintegrität

  • Aufgrund eines Einfügeproblems bei geshardeten Time-Series-Collections können eingefügte Dokumente sofort verwaisen, dadurch nicht von Abfragen zurückgegeben werden und Datenverlust verursachen.
  • Aufgrund einer Race Condition in mongosync 1.5 werden möglicherweise einige Schreibvorgänge von der Quelle nicht auf das Ziel repliziert. Ein Upgrade auf 1.6 oder höher wird empfohlen.
  • Aufgrund eines Problems in der Storage Engine können inkrementelle Backups in Ops Manager und Cloud Manager inkonsistent werden; Cluster, die aus betroffenen inkrementellen Backups wiederhergestellt wurden, können wegen Prüfsummenfehlern abstürzen.

Zum Betrieb

  • Durch das Caching von dbhash-Ergebnissen können Inkonsistenzen zwischen den Config-Servern eines geshardeten Clusters entstehen.

Zur Sicherheit

  • Im Debug-Modus des Atlas Operator können sensible Informationen protokolliert werden.
  • Einige MongoDB-Treiber können Ereignisse, die authentifizierungsbezogene Daten enthalten, an von der Anwendung konfigurierte Command Listener veröffentlichen.
  • Wenn ein MongoDB-Server unter Windows oder macOS so konfiguriert ist, dass er TLS verwendet, können Probleme bei der Zertifikatsvalidierung auftreten.

Meinung von GN⁺:

  • Das Wichtigste in diesem Artikel ist, dass MongoDB den jüngsten Sicherheitsvorfall aktiv untersucht und Kunden empfiehlt, Sicherheitsmaßnahmen zu ergreifen.
  • Da fortlaufend mehrere Probleme im Zusammenhang mit der Datenintegrität erkannt werden, sollten MongoDB-Nutzer diese Themen aufmerksam überwachen.
  • Sicherheitsvorfälle können sowohl für Unternehmen als auch für Privatnutzer schwerwiegende Folgen haben, daher bietet dieser Artikel MongoDB-Nutzern besonders interessante und wichtige Informationen.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-12-18
Hacker-News-Kommentare

  • Es kam zu einer Situation, in der weder auf das Atlas-Konto noch auf das Support-Portal vollständig zugegriffen werden konnte. Alle Mongo-Authentifizierungsversuche über Okta schlugen fehl, und auf dem Login-Bildschirm wurde die Meldung „The request contained invalid data.“ angezeigt. Für die Nutzung des Support-Portals ist ebenfalls eine Authentifizierung erforderlich, was es erschwert, Hilfe bei fehlgeschlagener Authentifizierung zu erhalten. Es wird gefragt, ob auch andere Nutzer Probleme beim Zugriff auf das Dashboard haben. Die Authentifizierung funktionierte später wieder, sodass der Zugriff auf das Dashboard möglich war.

  • Dies macht deutlich, dass in der frühen Untersuchungsphase nur begrenzte Informationen vorliegen können, und kündigt an, dass später weitere Informationen bereitgestellt werden. Dieser Ansatz wird positiv bewertet.

  • Es wird betont, dass Atlas-Kunden selbst dann nach einer so weitreichenden Ankündigung zu Website oder Support-Kanälen verständlicherweise besorgt sein können, wenn sie nicht betroffen waren. Aufgrund der SSPL-Lizenzänderung ist das Angebot eingeschränkt, aber ein unabhängiger MongoDB-DBaaS-Anbieter würde echte Redundanz bieten. Es wird gehofft, dass FerretDB erfolgreich eine tragfähige Alternative aufbauen kann.

  • Es wird gefragt, ob im Zusammenhang damit Kontext dazu fehlt, ob das regelmäßige Ändern von MongoDB-Atlas-Passwörtern tatsächlich eine Empfehlung moderner Sicherheitsteams ist.

  • Es wurde eine E-Mail-Warnung von MongoDB zu einem Sicherheitsvorfall erhalten. Es gab unbefugten Zugriff auf einige Unternehmenssysteme von MongoDB, wodurch Metadaten von Kundenkonten und Kontaktinformationen offengelegt wurden. Derzeit ist kein Bekanntwerden von in MongoDB Atlas gespeicherten Kundendaten bekannt. Am Mittwochabend wurde verdächtige Aktivität erkannt und umgehend das Incident-Response-Verfahren aktiviert. Es wird davon ausgegangen, dass der unbefugte Zugriff bereits eine Zeit lang andauerte, bevor er entdeckt wurde. Die Benachrichtigung der zuständigen Behörden wurde eingeleitet. Kunden wird empfohlen, auf Social-Engineering- und Phishing-Angriffe zu achten, nach Möglichkeit phishing-resistente Multi-Faktor-Authentifizierung (MFA) zu aktivieren und Passwörter regelmäßig zu ändern. MongoDB will weitere Informationen im Verlauf der Untersuchung fortlaufend unter mongodb.com/alerts veröffentlichen.

  • Es wird der Scherz gemacht: „Die Daten sind sicher. Denn wir haben sie nicht auf die Festplatte geschrieben.“

  • Jemand, der MongoDB nie benutzt hat, fragt sich, warum andere MongoDB gegenüber anderen Datenbanken bevorzugen.

  • Es wird ehrlich gefragt, warum sich Menschen heutzutage noch für Mongo statt für Postgres entscheiden, obwohl man nichts gegen JSON-Daten hat.

  • Es wird infrage gestellt, ob MongoDB seine Sache gut macht oder ob die Begeisterung dafür inzwischen etwas abgeflaut ist.