|
595 200ГБ данни от MongoDB инстанции са публично достъпни в Интернет. За това алармира блогърът и разработчик на популярната търсачка за интернет-свързани устройства Shodan Джон Мадърли."Повечето хора използват Shodan, за да търсят сървърни устройства, но от известно време аз я използвам, за да търся и информация, идваща от софтуер за управление на база данни", пише Мадърли в блога си. Той посочва, че докато продукти като MySQL и PostreSQL са принципно добре защитени, тъй като сигурността им идва като вградена функция, то при NoSQL, чиято популярност нараства напоследък не е така. Фокус в настоящето му търсене представлявали данни от MongoDB. При своеобразното си разследване, той се натъкнал на близо 30 000 инстанции, за чието достигане не била нужна авторизация. Той разказва, че това го озадачило, тъй като от известно време по подразбиране MongoDB "слуша" на localhost.Той си обяснява това с факта, че на хората, грижещи се за управлението на софтуера им отнело години, докато въведат тази функционалност по подразбиране, изправяйки уязвимост на софтуера, която била открита преди три години и запушена едва през пролетта на 2015 г. "Изглежда, че версия 2.4.14 е последната версия, която все още слуша на адрес 0.0.0.0 по подразбиране, която е междинна версия, издадена на 28.04.2015 г.", пише той. Мадърли посочва, че голяма част от MongoDB инстанциите се намират в облака, но те са по-незащитени от тези, които се хостват в дата центровете, като предположението му е, че просто облачните образи не се обновяват така често в облака, колкото в дата центровете. Това е и причината за откритието му: голяма част от съхраняваните в облачни структури бази използват остарял и съответно уязвим софтуер. |
|
