互聯網MongoDB數據庫泄露數據量高達595.2TB
責編:mhshi |2015-07-23 11:05:19知名設備安全搜索引擎Shodan的創始人John Matherly表示,全網MongoDB數據庫泄露數據量高達595.2TB。其中原因多是為MongoDB版本過于老舊或是隨意放在公網沒有經過身份驗證。
風險描述
MongoDB是一個不錯的開源SQL數據庫,許多公司如“紐約時報”、“易趣”、“Foursquare”,都采用了這種數據庫。當然,在中國的使用案例也很多,這點大家從安全漏洞報告平臺的海量上報中就能看出。
MongoDB的最新版本是3.0.4,而直到2.4.14版本的MongoDB還默認監聽的是0.0.0.0的地址,也就是說接受來自公網的直接訪問。
自2012年Roman Shtylman提出這個漏洞以來,到現在還有不少躺槍的廠商,況且后來Roman Shtylman還發現不少MongoDB連基本的認證都沒裝。RMongoDB漏洞版本沒有在mongodb.conf文件里配置bind_ip 127.0.0.1,這會讓服務器暴露在公網里,猶如沒穿衣服的少女處于虎視眈眈的大漢之中。正確的做法是盡可能把外網開放關掉,在管理需要的時候再開 放,甚至干脆就不開放。MongoDB2.6也可能存在問題。
大多數暴露的數據庫運行在云服務器上,如亞馬遜、數字海洋(Digital Ocean)之類的云服務商。Roman Shtylman認為這是因為云鏡像并不會經常更新,這才導致了數據版本老舊,以及不安全版本軟件的部署。
大多不設防
Roman Shtylman的團隊并不是第一次留意到MongoDB的安全,在2015年二月,他們曾宣布近四萬的MongoDB實例容易受到網絡攻擊。在德國薩爾 州大學的三名學生,在數千WEB服務器上發現MongoDB數據庫運行在外網的TCP 27017端口,并沒有適當的防御措施。
德國的專家小組報告說,他們不使用任何特殊的黑客工具,就可以輕易對這類MongoDB數據庫進行讀寫操作。