[转帖]全网约有4万MongoDB数据库完全不设防-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [转帖]全网约有4万MongoDB数据库完全不设防 0.00雪花

发表于: 2015-2-16 17:50 1008

[旧帖] [转帖]全网约有4万MongoDB数据库完全不设防 0.00雪花

by追梦者

2015-2-16 17:50

1008

来自FreeBuf黑客与极客（FreeBuf.COM）

近日三名德国学生发现，约40000个MongoDB数据库在无任何安全保护的情况下暴露于互联网，攻击者可以轻而易举的获得这些数据库的控制权限。

FreeBuf科普：MongoDB简单介绍

MongoDB是一种面向文档的跨平台的数据库，它使用类似json的动态模式（BSON）文档来提高不同应用的数据集成度。MongoDB因其可伸缩性、高性能和高可用性而流行，针对非常复杂的体系结构，它仍是一种有效的解决方案。此外， MongoDB利用内存中计算来提高性能。

现如今许多机构都在使用MongoDB数据库，坏消息是将近40000个使用MongoDB的企业都暴露在黑客攻击的风险之中。

MongoDB-vulnerable.png

漏洞影响

德国萨尔州大学的三名学生Kai Greshake、Eric Petryka和Jens Heyens发现，作为几千个商业web服务器数据库的MongoDB，在没有一定防护措施的情况下暴露在互联网上。

德国的专家小组报告说，在不使用任何特殊的黑客工具的情况下，他们就能获得那些未采取保护措施的MongoDB数据库的读写权限。

“令人不安的结果是，有39890个MongoDB数据库暴露在互联网上，这其中包含一个未指名的法国电信公司的数据库，该数据库包含有800万用户的手机号码和住宅地址。”
利用安全漏洞，攻击者可以通过自动化扫描Web服务器上的TCP端口27017，在几个小时内就能定位所有受影响的服务器。此外，攻击者也可以使用流行的Shodan搜索引擎很容易地识别出可访问的MongoDB数据库。

官方回应

德国研究人员已经向MongoDB报告他们的发现，并向法国数据保护机构(CNIL)和联邦信息安全办公室提交了相关报告，并已将该问题通知给了受影响的机构。

MongoDB敦促其用户使用最新版本的数据库来避免该漏洞的影响。

[课程]Linux pwn 探索篇！

收藏・0

免费・0

支持