全網(wǎng)約有4萬(wàn)MongoDB數(shù)據(jù)庫(kù)完全不設(shè)防
責(zé)編:admin |2015-04-20 10:44:56近日三名德國(guó)學(xué)生發(fā)現(xiàn),約40000個(gè)MongoDB數(shù)據(jù)庫(kù)在無(wú)任何安全保護(hù)的情況下暴露于互聯(lián)網(wǎng),攻擊者可以輕而易舉的獲得這些數(shù)據(jù)庫(kù)的控制權(quán)限。
FreeBuf科普:MongoDB簡(jiǎn)單介紹
MongoDB是一種面向文檔的跨平臺(tái)的數(shù)據(jù)庫(kù),它使用類(lèi)似json的動(dòng)態(tài)模式(BSON)文檔來(lái)提高不同應(yīng)用的數(shù)據(jù)集成度。MongoDB因其可伸縮性、高性能和高可用性而流行,針對(duì)非常復(fù)雜的體系結(jié)構(gòu),它仍是一種有效的解決方案。此外, MongoDB利用內(nèi)存中計(jì)算來(lái)提高性能。
現(xiàn)如今許多機(jī)構(gòu)都在使用MongoDB數(shù)據(jù)庫(kù),壞消息是將近40000個(gè)使用MongoDB的企業(yè)都暴露在黑客攻擊的風(fēng)險(xiǎn)之中。
漏洞影響
德國(guó)薩爾州大學(xué)的三名學(xué)生Kai Greshake、Eric Petryka和Jens Heyens發(fā)現(xiàn),作為幾千個(gè)商業(yè)web服務(wù)器數(shù)據(jù)庫(kù)的MongoDB,在沒(méi)有一定防護(hù)措施的情況下暴露在互聯(lián)網(wǎng)上。
德國(guó)的專(zhuān)家小組報(bào)告說(shuō),在不使用任何特殊的黑客工具的情況下,他們就能獲得那些未采取保護(hù)措施的MongoDB數(shù)據(jù)庫(kù)的讀寫(xiě)權(quán)限。
“令人不安的結(jié)果是,有39890個(gè)MongoDB數(shù)據(jù)庫(kù)暴露在互聯(lián)網(wǎng)上,這其中包含一個(gè)未指名的法國(guó)電信公司的數(shù)據(jù)庫(kù),該數(shù)據(jù)庫(kù)包含有800萬(wàn)用戶的手機(jī)號(hào)碼和住宅地址。”
利用安全漏洞,攻擊者可以通過(guò)自動(dòng)化掃描Web服務(wù)器上的TCP端口27017,在幾個(gè)小時(shí)內(nèi)就能定位所有受影響的服務(wù)器。此外,攻擊者也可以使用流行的Shodan搜索引擎很容易地識(shí)別出可訪問(wèn)的MongoDB數(shù)據(jù)庫(kù)。
官方回應(yīng)
德國(guó)研究人員已經(jīng)向MongoDB報(bào)告他們的發(fā)現(xiàn),并向法國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)(CNIL)和聯(lián)邦信息安全辦公室提交了相關(guān)報(bào)告,并已將該問(wèn)題通知給了受影響的機(jī)構(gòu)。
MongoDB敦促其用戶使用最新版本的數(shù)據(jù)庫(kù)來(lái)避免該漏洞的影響。
文章來(lái)自FreeBuf黑客與極客(FreeBuf.COM)
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧