全網(wǎng)約有4萬MongoDB數(shù)據(jù)庫完全不設防

近日三名德國學生發(fā)現(xiàn)，約40000個MongoDB數(shù)據(jù)庫在無任何安全保護的情況下暴露于互聯(lián)網(wǎng)，攻擊者可以輕而易舉的獲得這些數(shù)據(jù)庫的控制權(quán)限。

FreeBuf科普：MongoDB簡單介紹

MongoDB是一種面向文檔的跨平臺的數(shù)據(jù)庫，它使用類似json的動態(tài)模式（BSON）文檔來提高不同應用的數(shù)據(jù)集成度。MongoDB因其可 伸縮性、高性能和高可用性而流行，針對非常復雜的體系結(jié)構(gòu)，它仍是一種有效的解決方案。此外， MongoDB利用內(nèi)存中計算來提高性能。

現(xiàn)如今許多機構(gòu)都在使用MongoDB數(shù)據(jù)庫，壞消息是將近40000個使用MongoDB的企業(yè)都暴露在黑客攻擊的風險之中。

漏洞影響

德國薩爾州大學的三名學生Kai Greshake、Eric Petryka和Jens Heyens發(fā)現(xiàn)，作為幾千個商業(yè)web服務器數(shù)據(jù)庫的MongoDB，在沒有一定防護措施的情況下暴露在互聯(lián)網(wǎng)上。

德國的專家小組報告說，在不使用任何特殊的黑客工具的情況下，他們就能獲得那些未采取保護措施的MongoDB數(shù)據(jù)庫的讀寫權(quán)限。

“令人不安的結(jié)果是，有39890個MongoDB數(shù)據(jù)庫暴露在互聯(lián)網(wǎng)上，這其中包含一個未指名的法國電信公司的數(shù)據(jù)庫，該數(shù)據(jù)庫包含有800萬用戶的手機號碼和住宅地址。”

利用安全漏洞，攻擊者可以通過自動化掃描Web服務器上的TCP端口27017，在幾個小時內(nèi)就能定位所有受影響的服務器。此外，攻擊者也可以使用流行的Shodan搜索引擎很容易地識別出可訪問的MongoDB數(shù)據(jù)庫。

官方回應

德國研究人員已經(jīng)向MongoDB報告他們的發(fā)現(xiàn)，并向法國數(shù)據(jù)保護機構(gòu)(CNIL)和聯(lián)邦信息安全辦公室提交了相關報告，并已將該問題通知給了受影響的機構(gòu)。

MongoDB敦促其用戶使用最新版本的數(shù)據(jù)庫來避免該漏洞的影響。

[參考來源SecurityAffairs，轉(zhuǎn)載請注明來自FreeBuf黑客與極客]