El problema trata de la existencia de múltiples bases de datos MongoDB que exponen los datos que almacenan sin que sea necesario conocer ningún usuario ni contraseña del sistema.
Sin embargo, entre los resultados que muestra John Matherly de muchos de los MongoDB aparece el nombre de las bases de datos que están dentro e incluso el tamaño de las mismas. La única explicación plausible a esto es que 1) o la base de datos muestra esa información sin necesidad de conectarse o 2) la base de datos MongoDB permite conexiones anónimas.
Conexiones Anónimas a MongoDB
Las conexiones anónimas son algo muy común en otros servicios, como por ejemplo en los árboles LDAP a los que se puede acceder a mucha información - incluso vía conexiones PHP LDAP Admin -, o con el uso de conexiones con el protocolo SNMPv1 o SNMPv2 en servidores SNMP, así que quise probar si la información que se veía era por el motivo 1 o por el motivo 2. Solo curiosidad.
Para ello me descargué una herramienta Open Source llamada RoboMongo - que además está solicitando apoyo para que el proyecto continúe vivo - que ofrece un sencillo GUI y realicé algunas conexiones a direcciones IP de las que muestra Shodan como servidores MongoDB. Para hacer la prueba, por supuesto, en la conexión al servidor no seleccioné la opción de autenticarme.
Sorprendentemente, en muchas bases de datos se puede acceder a las instancias de las bases de datos, y con ello a toda la información que contienen. Datos que pueden ser de todo tipo. No es una ni dos las bases de datos MongoDB que permiten acceder de forma anónima sin conexión, sino que son muchas y ofreciendo muchos datos del propio servidor.
En el caso de los registros de log, se puede ver información de arranque del motor, con datos del tipo de servidor en que está corriendo, con versiones de sistema operativo, versiones de software de motores JavaScript o SSL que pueden exponer vulnerabilidades o con rutas locales que puedan utilizarse con un ataque combinado.
Pero es que en muchos casos están los datos de las aplicaciones, con datos de usuarios, contraseñas, datos personales, etcétera, lo que supone un gran riesgo para la seguridad de las empresas que no hayan fortificado sus bases de datos y permitan las conexiones anónimas al MongoDB.
Si tienes una instancia MongoDB, revisa la configuración de seguridad del motor y las bases de datos, y si tienes alguna aplicación web que tire sobre ellas, revisa este artículo:
Publicado en el blog de Eleven Paths sobre las técnicas de MongoDB Injection.
Fuente:
http://www.elladodelmal.com/2016/02/vigila-que-tu-mongodb-no-le-de-tus.html
No hay comentarios:
Publicar un comentario