WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Quản trị MongoDB vô tình để lộ 600TB dữ liệu
Nhà nghiên cứu an ninh mạng, John Matherly, cho biết quản trị hệ thống MongoDB vô tình để lộ gần 600TB dữ liệu vì chạy các phiên bản cũ và không được vá của phần mềm.
Chuyên gia này cho biết đã rất ngạc nhiên với kết quả tìm kiếm của Shodan, khi file cấu hình “mongodb.conf” được chia sẻ trên Github từ năm 2013 cho thấy MongoDB mặc định theo dõi localhost.
Vấn đề này đã được cảnh báo từ đầu năm 2012 (SERVER-4216) nhưng các nhà phát triển MogoDB phải mất hơn 2 năm để xử lý.
Trong thiết lập cài đặt mặc định của MongoDB không có tùy chọn ‘bind_ip 127.0.0.1’ trong mongodb.conf. Điều này làm các máy chủ của người dùng dễ bị tấn công nếu họ không biết về thiết lập này. Các thiết lập mặc định được ẩn đi và chỉ xuất hiện khi người dùng yêu cầu.
Matherly cho hay các phiên bản cũ hơn 2.6 đều bị ảnh hưởng. Nghiêm trọng ở chỗ hầu hết người dùng Mongo đều đang sử dụng các phiên bản 2.4.9 và 2.4.10, tiếp đó là 2.6.7.
Nhà nghiên cứu cũng cho biết đa số dữ liệu MongoDB có thể bị truy cập công khai được đặt trên hệ thống đám mây, cụ thể là DigitalOcean, Amazon, Linode và OVH.
“Các hệ thống điện toán đám mây có xu hướng dễ bị tấn công hơn trung tâm dữ liệu truyền thống. Tôi đoán là do các image không được cập nhật thường xuyên, khiến cho người dùng sử dụng các phiên bản cũ của phần mềm thay vì các phiên bản mới và an toàn hơn,” Matherly nói.
30.000 instance MongoDB bị lộ lần này chứa tổng cộng 595.2TB dữ liệu. Trong số đó, 10 tên dữ liệu phổ biến nhất được xác định bởi công cụ tìm kiếm Shodan là local, admin, db, test, config, mydb, video, hackdb, storage và trash.
Đây không phải là lần đầu tiên các nhà nghiên cứu phát hiện cơ sở dữ liệu MongoDB bị tiết lộ. Trong tháng Hai, các sinh viên từ trường Đại học Saarland ở Đức cũng tiết lộ tìm kiếm được hơn 40.000 instance.
Các chuyên gia cảnh báo, hiện tại, nhiều gói dữ liệu soạn sẵn của MongoDB được phát hành với cấu hình mặc định liên kết các dịch vụ với localhost (bind_ip 127.0.0.1). Tuy nhiên, trong nhiều trường hợp cơ sở dữ liệu và dịch vụ sử dụng cơ sở dữ liệu chạy trên thiết bị khác nhau, các nhà phát triển đã bỏ thiết lập “bind_ip” cho phép tất cả các kết nối mạng đến cơ sở dữ liệu.
Điều này cho phép truy cập từ một mạng bên ngoài không tin cậy. Khi đó, nếu không có cơ chế mã hóa và quản lý truy cập phù hợp, cơ sở dữ liệu hệ thống sẽ bị lộ.
Chuyên gia này cho biết đã rất ngạc nhiên với kết quả tìm kiếm của Shodan, khi file cấu hình “mongodb.conf” được chia sẻ trên Github từ năm 2013 cho thấy MongoDB mặc định theo dõi localhost.
Vấn đề này đã được cảnh báo từ đầu năm 2012 (SERVER-4216) nhưng các nhà phát triển MogoDB phải mất hơn 2 năm để xử lý.
Trong thiết lập cài đặt mặc định của MongoDB không có tùy chọn ‘bind_ip 127.0.0.1’ trong mongodb.conf. Điều này làm các máy chủ của người dùng dễ bị tấn công nếu họ không biết về thiết lập này. Các thiết lập mặc định được ẩn đi và chỉ xuất hiện khi người dùng yêu cầu.
Matherly cho hay các phiên bản cũ hơn 2.6 đều bị ảnh hưởng. Nghiêm trọng ở chỗ hầu hết người dùng Mongo đều đang sử dụng các phiên bản 2.4.9 và 2.4.10, tiếp đó là 2.6.7.
Nhà nghiên cứu cũng cho biết đa số dữ liệu MongoDB có thể bị truy cập công khai được đặt trên hệ thống đám mây, cụ thể là DigitalOcean, Amazon, Linode và OVH.
“Các hệ thống điện toán đám mây có xu hướng dễ bị tấn công hơn trung tâm dữ liệu truyền thống. Tôi đoán là do các image không được cập nhật thường xuyên, khiến cho người dùng sử dụng các phiên bản cũ của phần mềm thay vì các phiên bản mới và an toàn hơn,” Matherly nói.
30.000 instance MongoDB bị lộ lần này chứa tổng cộng 595.2TB dữ liệu. Trong số đó, 10 tên dữ liệu phổ biến nhất được xác định bởi công cụ tìm kiếm Shodan là local, admin, db, test, config, mydb, video, hackdb, storage và trash.
Đây không phải là lần đầu tiên các nhà nghiên cứu phát hiện cơ sở dữ liệu MongoDB bị tiết lộ. Trong tháng Hai, các sinh viên từ trường Đại học Saarland ở Đức cũng tiết lộ tìm kiếm được hơn 40.000 instance.
Các chuyên gia cảnh báo, hiện tại, nhiều gói dữ liệu soạn sẵn của MongoDB được phát hành với cấu hình mặc định liên kết các dịch vụ với localhost (bind_ip 127.0.0.1). Tuy nhiên, trong nhiều trường hợp cơ sở dữ liệu và dịch vụ sử dụng cơ sở dữ liệu chạy trên thiết bị khác nhau, các nhà phát triển đã bỏ thiết lập “bind_ip” cho phép tất cả các kết nối mạng đến cơ sở dữ liệu.
Điều này cho phép truy cập từ một mạng bên ngoài không tin cậy. Khi đó, nếu không có cơ chế mã hóa và quản lý truy cập phù hợp, cơ sở dữ liệu hệ thống sẽ bị lộ.
Theo Security Week, itnews
Chỉnh sửa lần cuối bởi người điều hành: