Το MongoDB, μια δημοφιλής βάση δεδομένων NoSQL που χρησιμοποιείται για μεγάλα αρχεία δεδομένων, έχει επιδιορθώσει μια σοβαρή ευπάθεια denial-of-service, που μπορούσε να εκμεταλλευτεί και από απομακρυσμένο υπολογιστή.
Οι εταιρείες που χρησιμοποιούν την προεπιλεγμένη εγκατάσταση του MοngoDB, η οποία δεν απαιτεί έλεγχο ταυτότητας για την πρόσβαση στη βάση δεδομένων, προτρέπονται να εγκαταστήσουν άμεσα τη νέα ενημέρωση, και να στήσουν το μηχανισμό ελέγχου ταυτότητας. Οι hacker, οι οποίοι χρησιμοποιούν κάποιο Shodan query ή σαρώνουν το διαδίκτυο ψάχνοντας για ευάλωτες εγκαταστάσεις, μπορούν εύκολα να βρουν διακομιστές MοngoDB σε online σύνδεση. Σύμφωνα με την ιστοσελίδα MongoDB, μεγάλες επιχειρήσεις, όπως η MetLife, η Bosch, η Expedia, και το The Weather Channel, χρησιμοποιούν τη βάση δεδομένων.
Ερευνητές στα Fortinet FortiGuard Labs, ανακάλυψαν την ευπάθεια σε διάφορα τμήματα του MongoDB στις 20 και 23 Φεβρουαρίου, και αμέσως κοινοποίησαν report στη MongoDB, η οποία κυκλοφόρησε τις ενημερωμένες εκδόσεις στις 17 Μαρτίου.
Ο Aamir Lakhani, ερευνητής των FortiGuard Labs, αναφέρει ότι ο εισβολέας δε χρειάζεται να είναι πιστοποιημένος στο σύστημα ή να έχει δικαιώματα, ώστε να εκμεταλλευτεί την ευπάθεια. Το μόνο που χρειάζεται να κάνει είναι να στείλει το κατάλληλο query, ώστε να ρίξει όλη τη βάση. Ως εκ τούτο για κάποιον ακόμη και με σχετικά λίγες γνώσεις πάνω στο θέμα θα μπορούσε να προκαλέσει αρκετά μεγάλη ζημιά στην επιχείρηση που χρησιμοποιεί τη βάση αυτή.
Η ευπάθεια αυτή βρίσκεται σε μια παλιά PCRE library (8.30) των εκφράσεων που χρησιμοποιούνται κατά την υποβολή ερωτημάτων στη MοngoDB. Η εταιρεία κυκλοφόρησε τα patces για τη libray αυτή στις εκδόσεις 3.0.1 και 2.6.9. οι τελευταίες εκδόσεις της MοngoDB έρχονται με διορθωμένη έκδοση του PCRE (8.36 και μεγαλύτερο).
