ΑρχικήsecurityΟι MongoDB admins εξέθεσαν 600Τ data χρησιμοποιώντας unpatched version

Οι MongoDB admins εξέθεσαν 600Τ data χρησιμοποιώντας unpatched version

Oι admins του MongoDB εξέθεσαν κατά λάθος 600TB data – Old εκδόσεις που περιλαμβάνουν τρύπες ασφαλείας. Οι Systems administrators του Mongo DB database εξέθεσαν σχεδόν 600 terabytes δεδομένων unpatched και παλαιών εκδόσεων open source software, σύμφωνα με ερευνητή ασφαλείας.

Ο Shodan hacker, John Matherly, δήλωσε πως σχεδόν 30,000 databases έχουν εκτεθεί επειδή οι διαχειριστές χρησιμοποιούσαν τις παλαιές εκδόσεις της NoSQL database η οποία απέτυχε να συνδεθεί στον localhost.

Οι MongoDB admins εξέθεσαν 600Τ data χρησιμοποιώντας unpatched version

«Υπάρχει ένα σύνολο 595.2TB δεδομένων που εκτέθηκαν στο διαδίκτυο μέσω της δημόσιας πρόσβασης στο Mongo DB το οποίο δεν είχε κανένα είδος πιστοποίησης.” Δήλωσε.

«Αποδεικνύεται ότι το Mongo DB version 2.4.14 φαίνεται να είναι η τελευταία έκδοση που ακούει στο 0.0.0.0 από προεπιλογή, το οποίο φαίνεται να είναι η συντηρημένη έκδοση της 28ης Απριλίου, 2015.”

Το θέμα ασφαλείας έχει έρθει στο φως εδώ και τρία χρόνια ως critical vulnerability, αλλά πήρε παραπάνω από δύο χρόνια για να αλλαχθούν οι ρυθμίσεις, δήλωσε ο κύριος Matherly.

Οι επηρεασμένες παλαιότερες εκδόσεις του MongoDB υπολείπονται ενός ‘bind_ip 127.0.0.1’ option το οποίο τέθηκε σε mongodb.conf, αφήνοντας τον server τρωτό εάν ο χρήστης δεν είναι ενήμερος για την ρύθμιση, η εταιρεία ασφαλείας δηλώνει.
«Από προεπιλογή θα έπρεπε να κλειδώνει και να εκτίθεται μόνο εάν ο χρήστης το ζητήσει»

Ο κύριος Matherly δηλώνει ότι εμφανίσθηκαν εκδόσεις παλαιότερες της 2.6 και επηρεάστηκαν – σοβαρό πρόβλημα έχουν επίσης οι χρήστες των εκδόσεων 2.4.9 και 2.4.10, και ακολουθούν οι χρήστες της 2.6.7, σύμφωνα με τη δήλωσή του.

Κατά τα λεγόμενά του, η πλειοψηφία των εκτεθειμένων δεδομένων βρίσκεται σε cloud instances όπως το Amazon, το Linode, το Digital Ocean και στο internet service and hosting provider OVH.

Συμβουλεύει τους χρήστες να ενημερώσουν τις εκδόσεις τους το συντομότερο δυνατό.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS