WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
Khoảng 40.000 cơ sở dữ liệu MongoDB có nguy cơ bị truy cập trái phép
Quản trị viên hàng chục nghìn cơ sở dữ liệu MongoDB trên toàn thế giới không kích hoạt bất cứ cơ chế bảo mật nào, cho phép sự truy cập lén lút từ bên ngoài và có nguy cơ lộ lọt thông tin hàng triệu khách hàng với các bên không có quyền truy cập.
MongoDB là cơ sở dữ liệu nguồn mở tương thích với các hệ thống điều hành khác nhau và là cơ sở dữ liệu NoSQL rất phổ biến, được sử dụng bởi nhiều website và dịch vụ lớn.
Nhóm 3 sinh viên (gồm Jens Heyens, Kai Greshake và Eric Petryka) đang theo học ngành an ninh mạng tại Đại học Saarlan tại Đức đã sử dụng công cụ tìm kiếm Shodan cho thiết bị kết nối Internet để tìm ra loại thiết bị có cổng TCP 27017 mặc định được mở bởi MongoDB.
Nhóm dùng một tài khoản Shodan miễn phí và một bộ lọc có sẵn để quét các máy chủ MongoDB không được bảo vệ. Bằng cách sử dụng một mã HTML cụ thể, 3 sinh viên đã lên danh sách các địa chỉ IP kết nối tới các cơ sở dữ liệu có lỗ hổng.
Các bước này là đủ để nhóm có thể truy cập Mongo shell chỉ sử dụng địa chỉ IP ngoài được chỉ định cho thiết bị chứa cơ sở dữ liệu. Về cơ bản, các máy chủ bị phát hiện là không có bất cứ cơ chế kiểm soát truy cập nào có thể ngăn chặn kẻ tấn công thu thập thông tin lưu trữ.
Lần quét cổng đầu tiên thu được tổng cộng 39.890 kết quả, tuy nhiên nhóm sinh viên cho biết số lượng cơ sở dữ liệu có lỗ hổng này không chính xác bởi một số người đã khóa hoạt động quét đối với thiết bị của mình. Mặt khác, trong một vài trường hợp, cơ sở dữ liệu cố tình được để mở bởi đây là một phần trong cài đặt honeypot.
3 sinh viên cho biết họ đã xem xét cơ sở dữ liệu của 1 khách hàng thuộc một nhà cung cấp dịch vụ viễn thông giấu tên tại Pháp, nơi lưu trữ thông tin chi tiết của khoảng 8 triệu khách hàng.
Thông tin như tên, địa chỉ, email và thẻ tín dụng có thể không chỉ được sao lưu mà còn có thể bị thay đổi.
Ngoài dữ liệu từ nhà mạng Pháp, nhóm còn tìm thấy thông tin từ hãng bán lẻ trực tuyến ở Đức. Đó là thông tin thanh toán của nửa triệu khách hàng cá nhân.
Cấu hình mặc định cho MongoDB chỉ chấp nhận truy vấn từ các dịch vụ trong mạng nội bộ, vì vậy sự kết nối từ bên ngoài bị từ chối một cách tự động.
Tuy nhiên, nhóm cũng cho biết có thêm một bước cài đặt phổ biến đó là lưu trữ cơ sở dữ liệu trên 1 thiết bị và dịch vụ dùng cơ sở dữ liệu lại trên 1 thiết bị khách. Nếu biện pháp này được sử dụng, thì cách dễ nhất cho phép truy cập dịch vụ là loại bỏ quyền hạn chế mạng nội bộ, như vậy sẽ mặc định chấp nhận việc kết nối từ bất kỳ mạng nào.
Đây dường như là lỗi của những nhà quản trị mạng, những người cấu hình sai cơ chế kiểm soát truy cập (challenge and response, X.509 certificate, Kerberos và xác thực LDAP proxy), liên quan trực tiếp đến mã hóa lưu lượng.
Nhóm đã chuyển các kết quả nghiên cứu của mình đến các nhóm duy trì MongoDB để bổ sung vào hướng dẫn an ninh cho người dùng.
Nguồn: Softpedia
MongoDB là cơ sở dữ liệu nguồn mở tương thích với các hệ thống điều hành khác nhau và là cơ sở dữ liệu NoSQL rất phổ biến, được sử dụng bởi nhiều website và dịch vụ lớn.
Nhóm 3 sinh viên (gồm Jens Heyens, Kai Greshake và Eric Petryka) đang theo học ngành an ninh mạng tại Đại học Saarlan tại Đức đã sử dụng công cụ tìm kiếm Shodan cho thiết bị kết nối Internet để tìm ra loại thiết bị có cổng TCP 27017 mặc định được mở bởi MongoDB.
Nhóm dùng một tài khoản Shodan miễn phí và một bộ lọc có sẵn để quét các máy chủ MongoDB không được bảo vệ. Bằng cách sử dụng một mã HTML cụ thể, 3 sinh viên đã lên danh sách các địa chỉ IP kết nối tới các cơ sở dữ liệu có lỗ hổng.
Các bước này là đủ để nhóm có thể truy cập Mongo shell chỉ sử dụng địa chỉ IP ngoài được chỉ định cho thiết bị chứa cơ sở dữ liệu. Về cơ bản, các máy chủ bị phát hiện là không có bất cứ cơ chế kiểm soát truy cập nào có thể ngăn chặn kẻ tấn công thu thập thông tin lưu trữ.
Lần quét cổng đầu tiên thu được tổng cộng 39.890 kết quả, tuy nhiên nhóm sinh viên cho biết số lượng cơ sở dữ liệu có lỗ hổng này không chính xác bởi một số người đã khóa hoạt động quét đối với thiết bị của mình. Mặt khác, trong một vài trường hợp, cơ sở dữ liệu cố tình được để mở bởi đây là một phần trong cài đặt honeypot.
3 sinh viên cho biết họ đã xem xét cơ sở dữ liệu của 1 khách hàng thuộc một nhà cung cấp dịch vụ viễn thông giấu tên tại Pháp, nơi lưu trữ thông tin chi tiết của khoảng 8 triệu khách hàng.
Thông tin như tên, địa chỉ, email và thẻ tín dụng có thể không chỉ được sao lưu mà còn có thể bị thay đổi.
Ngoài dữ liệu từ nhà mạng Pháp, nhóm còn tìm thấy thông tin từ hãng bán lẻ trực tuyến ở Đức. Đó là thông tin thanh toán của nửa triệu khách hàng cá nhân.
Cấu hình mặc định cho MongoDB chỉ chấp nhận truy vấn từ các dịch vụ trong mạng nội bộ, vì vậy sự kết nối từ bên ngoài bị từ chối một cách tự động.
Tuy nhiên, nhóm cũng cho biết có thêm một bước cài đặt phổ biến đó là lưu trữ cơ sở dữ liệu trên 1 thiết bị và dịch vụ dùng cơ sở dữ liệu lại trên 1 thiết bị khách. Nếu biện pháp này được sử dụng, thì cách dễ nhất cho phép truy cập dịch vụ là loại bỏ quyền hạn chế mạng nội bộ, như vậy sẽ mặc định chấp nhận việc kết nối từ bất kỳ mạng nào.
Đây dường như là lỗi của những nhà quản trị mạng, những người cấu hình sai cơ chế kiểm soát truy cập (challenge and response, X.509 certificate, Kerberos và xác thực LDAP proxy), liên quan trực tiếp đến mã hóa lưu lượng.
Nhóm đã chuyển các kết quả nghiên cứu của mình đến các nhóm duy trì MongoDB để bổ sung vào hướng dẫn an ninh cho người dùng.
Nguồn: Softpedia