全網約有4萬MongoDB數據庫完全不設防

近日三名德國學生發現，約40000個MongoDB數據庫在無任何安全保護的情況下暴露于互聯網，攻擊者可以輕而易舉的獲得這些數據庫的控制權限。

FreeBuf科普：MongoDB簡單介紹

MongoDB是一種面向文檔的跨平臺的數據庫，它使用類似json的動態模式（BSON）文檔來提高不同應用的數據集成度。MongoDB因其可 伸縮性、高性能和高可用性而流行，針對非常復雜的體系結構，它仍是一種有效的解決方案。此外， MongoDB利用內存中計算來提高性能。

現如今許多機構都在使用MongoDB數據庫，壞消息是將近40000個使用MongoDB的企業都暴露在黑客攻擊的風險之中。

漏洞影響

德國薩爾州大學的三名學生Kai Greshake、Eric Petryka和Jens Heyens發現，作為幾千個商業web服務器數據庫的MongoDB，在沒有一定防護措施的情況下暴露在互聯網上。

德國的專家小組報告說，在不使用任何特殊的黑客工具的情況下，他們就能獲得那些未采取保護措施的MongoDB數據庫的讀寫權限。

“令人不安的結果是，有39890個MongoDB數據庫暴露在互聯網上，這其中包含一個未指名的法國電信公司的數據庫，該數據庫包含有800萬用戶的手機號碼和住宅地址。”

利用安全漏洞，攻擊者可以通過自動化掃描Web服務器上的TCP端口27017，在幾個小時內就能定位所有受影響的服務器。此外，攻擊者也可以使用流行的Shodan搜索引擎很容易地識別出可訪問的MongoDB數據庫。

官方回應

德國研究人員已經向MongoDB報告他們的發現，并向法國數據保護機構(CNIL)和聯邦信息安全辦公室提交了相關報告，并已將該問題通知給了受影響的機構。

MongoDB敦促其用戶使用最新版本的數據庫來避免該漏洞的影響。

[參考來源SecurityAffairs，轉載請注明來自FreeBuf黑客與極客]