image

Bijna 40.000 MongoDB-databases open op internet

dinsdag 10 februari 2015, 17:17 door Redactie, 7 reacties

Onderzoekers hebben op internet duizenden MongoDB-databases ontdekt die direct via het internet toegankelijk zijn, waardoor gevoelige informatie gevaar kan lopen. MongoDB is een opensource NoSQL-database die door verschillende grote websites en diensten wordt gebruikt, alsmede tal van kleinere sites.

Volgens onderzoekers van het Duitse Center for IT-Security, Privacy, and Accountability (CISPA) kan een minder ervaren systeembeheerder bij het opzetten van een MongoDB-webserver vergeten om belangrijke beveiligingsmaatregelen in te stellen. "Dit leidt tot een volledig open en kwetsbare database die iedereen kan benaderen, en erger, kan manipuleren."

Standaard draait MongoDB op TCP-poort 27017. Een aanvaller zou alleen een poortscan hoeven uit te voeren om de databases te vinden. Dit zou slechts enkele uren kosten of via een zoekmachine als Shodan kunnen worden gedaan. Tijdens de eerste poortscan ontdekten de onderzoekers 39.890 open MongoDB-databases. De onderzoekers merken op dat het cijfer mogelijk onnauwkeurig is.

Veel grotere providers blokkeerden namelijk de poortscan, waardoor er mogelijk veel meer open MongoDB-databases online zijn. Aan de andere kant zijn verschillende databases mogelijk opzettelijk ingesteld om kwetsbaar en open te zijn, bijvoorbeeld als honeypot. De onderzoekers geven in hun rapport (pdf) verschillende aanbevelingen om de databases te beveiligen. In een update benadrukken ze dat het probleem niet bij MongoDB ligt, maar bij de beheerders die de software onveilig configureren.

Reacties (7)
10-02-2015, 17:53 door Simplect
Dit probleem heb ik 2 jaar geleden al aangekaart. En dit is zeker wel een probleem van MongoDB omdat ze luisteren op 0.0.0.0 en niet op 127.0.0.1 en de debug user waar iedereen default mee kan inloggen heeft rechten tot alle databases.
10-02-2015, 18:14 door Anoniem
Volgens onderzoekers van het Duitse Center for IT-Security, Privacy, and Accountability (CISPA) kan een minder ervaren systeembeheerder bij het opzetten van een MongoDB-webserver vergeten om belangrijke beveiligingsmaatregelen in te stellen. "Dit leidt tot een volledig open en kwetsbare database die iedereen kan benaderen, en erger, kan manipuleren."

Dit zijn geen systeembeheerders, maar gewoon prutsers. Als systeembeheerder hoort je dit gewoon te weten!

'netstat -tulpn' en je ziet gelijk wat er open staat en welk programma dat is.

En dan zet je of MongoDB op localhost, of je zet er een firewall voor. Beide acties zijn vijf minuten werk. Als een systeembeheerder dit niet doet, is het gewoon gepruts..

Na 30 is er nog vaak de gedachte...: ach het is toch een lastige url, of niet standaard poort, dus het zit wel goed. Niet snappende dat het internet continue wordt gescannend op poorten en urls die je zelf niet zult bedenken. En dus is er weer een lek gecreëerd. Dit zal zeker nog 10 jaar lang door etteren. Leren van het verleden is blijkbaar zeer lastig...

TheYOSH
10-02-2015, 23:40 door [Account Verwijderd]
Door Anoniem: Leren van het verleden is blijkbaar zeer lastig...

Hoeveel mensen ken jij die geschiedenis in hun vakkenpakket hebben of hebben gehad?
11-02-2015, 08:07 door Anoniem
In een update benadrukken ze dat het probleem niet bij MongoDB ligt, maar bij de beheerders die de software onveilig configureren.
Het is dus wél een probleem van MongoDB, zij leveren een standaard installatie die blijkbaar onveilig is en vanaf ieder willekeurig ip adres is te benaderen. Dat niet iedere "beheerder" hier van op de hoogte is, dat is een bekend gegeven en dus moet je de beheerders in bescherming nemen door een veilige default te gebruiken. Alleen localhost connections zijn goed genoeg om mee te beginnen en veilig om mee in productie te gaan.

Kortom, MongoDB heeft hier gefaald door standaard de deur open te zetten.
11-02-2015, 08:14 door Erik van Straten
Door Factionwars: [...] En dit is zeker wel een probleem van MongoDB omdat ze luisteren op 0.0.0.0 en niet op 127.0.0.1 en de debug user waar iedereen default mee kan inloggen heeft rechten tot alle databases.
Eens dat het onverstandig is om by default zaken open te zetten. Dit geldt niet alleen voor MongoDB maar ook voor bijv. XAMPP. Meegeleverde voorbeeldcode gaat meestal ook uit van de onveilige setup met default passwords.

Overigens zijn o.a. lekke MongoDB servers (ook MySQL en Heartbleed) t/m september vorig jaar geïndexeerd door Un1c0rm (https://un1c0rn.net/search?q=tags%3Amongo). Die site doet het soms wel en soms niet, en levert (sinds eind september 2014) geen nieuwe resultaten meer. Aangezien Un1corn 65037 lekke MongoDB servers geïndexeerd heeft, verbaast het door de Duitse onderzoekers gevonden aantal van 39.890 mij niet echt.
12-02-2015, 00:22 door Anoniem
Kortom, MongoDB heeft hier gefaald door standaard de deur open te zetten.[/quote]
Anders kunnen de prutsers het niet installeren, blijkbaar hun doelgroep. (Hopend dat de ontwikkelaars geen prutsers zijn)
23-07-2015, 08:59 door superglitched - Bijgewerkt: 23-07-2015, 09:08
CouchDB by default is ook vrij makkelijk te benaderen als deze niet expliciet beveiligd is. Volgens mij is de enige security hier dat ze standaard alleen op 127.0.0.1 luisteren en dus niet zomaar van buitenaf te benaderen zijn.

Maar vaak wordt dat snel teniet gedaan door hem te binden op het server IP, omdat of niet iedereen weet dat dat via localhost te benaderen is, of dat men graag via een andere server wil benaderen.

Standaard zit er vaak geen goede admin security op, hetgeen het makkelijk maakt om een shell te uploaden. Alle eigengemaakte documenten (buiten de default _users views) zijn vrij in te zien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.