近日三名德國(guó)學(xué)生發(fā)現(xiàn),約40000個(gè)MongoDB數(shù)據(jù)庫(kù)在無(wú)任何安全保護(hù)的情況下暴露于互聯(lián)網(wǎng)�����,攻擊者可以輕而易舉的獲得這些數(shù)據(jù)庫(kù)的控制權(quán)限�����。
好特科普:MongoDB簡(jiǎn)單介紹
MongoDB是一種面向文檔的跨平臺(tái)的數(shù)據(jù)庫(kù),它使用類似json的動(dòng)態(tài)模式(BSON)文檔來提高不同應(yīng)用的數(shù)據(jù)集成度�����。MongoDB因其可伸縮性、高性能和高可用性而流行�����,針對(duì)非常復(fù)雜的體系結(jié)構(gòu)�����,它仍是一種有效的解決方案。此外�����, MongoDB利用內(nèi)存中計(jì)算來提高性能。
現(xiàn)如今許多機(jī)構(gòu)都在使用MongoDB數(shù)據(jù)庫(kù)�����,壞消息是將近40000個(gè)使用MongoDB的企業(yè)都暴露在黑客攻擊的風(fēng)險(xiǎn)之中。
漏洞影響
德國(guó)薩爾州大學(xué)的三名學(xué)生Kai Greshake�����、Eric Petryka和Jens Heyens發(fā)現(xiàn)�����,作為幾千個(gè)商業(yè)web服務(wù)器數(shù)據(jù)庫(kù)的MongoDB�����,在沒有一定防護(hù)措施的情況下暴露在互聯(lián)網(wǎng)上。
德國(guó)的專家小組報(bào)告說�����,在不使用任何特殊的黑客工具的情況下,他們就能獲得那些未采取保護(hù)措施的MongoDB數(shù)據(jù)庫(kù)的讀寫權(quán)限。
“令人不安的結(jié)果是�����,有39890個(gè)MongoDB數(shù)據(jù)庫(kù)暴露在互聯(lián)網(wǎng)上,這其中包含一個(gè)未指名的法國(guó)電信公司的數(shù)據(jù)庫(kù)�����,該數(shù)據(jù)庫(kù)包含有800萬(wàn)用戶的手機(jī)號(hào)碼和住宅地址�����!
利用安全漏洞�����,攻擊者可以通過自動(dòng)化掃描Web服務(wù)器上的TCP端口27017�����,在幾個(gè)小時(shí)內(nèi)就能定位所有受影響的服務(wù)器�����。此外�����,攻擊者也可以使用流行的Shodan搜索引擎很容易地識(shí)別出可訪問的MongoDB數(shù)據(jù)庫(kù)�����。
官方回應(yīng)
德國(guó)研究人員已經(jīng)向MongoDB報(bào)告他們的發(fā)現(xiàn)�����,并向法國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)(CNIL)和聯(lián)邦信息安全辦公室提交了相關(guān)報(bào)告�����,并已將該問題通知給了受影響的機(jī)構(gòu)�����。
MongoDB敦促其用戶使用最新版本的數(shù)據(jù)庫(kù)來避免該漏洞的影響�����。
小編推薦閱讀
