11 feb 2015

Error crítico en la configuración de MongoDB (revisa la tuya)

Estudiantes de la universidad alemana de Saarland descubrieron un error de seguridad que permite ver y modificar decenas de miles de bases de datos que guardan información privada de usuarios.

Los estudiantes afirman haber encontrado casi 40.000 casos de la popular base de datos NoSQL MongoDB en Internet, incluyendo uno que sospechan pertenece a una empresa de telecomunicaciones francesa y que contiene 8 millones de registros de clientes. Los investigadores también afirmaron que encontraron unos 500.000 registros de usuarios alemanes expuestos.

MongoDB es una base de datos NoSQL muy popular para aplicaciones web y servicios, y es utilizada por Facebook, Salesforce, Expedia, Adobe, Goldman Sachs y muchos otros en la lista Fortune 100.

Los tres estudiantes Kai Greshake, Eric Petryka y Jens Heyens dijeron que fueron capaces de obtener "acceso de lectura y escritura, sin necesidad de herramientas especiales" y han publicado un informe [PDF] que detalla cómo los administradores de MongoDB deben fortalecer la seguridad de la base de datos.

En su informe detallan cómo un atacante podría encontrar instancias de MongoDB vulnerables ejecutando una exploración del puerto TCP 27017, el valor predeterminado de MongoDB. Mientras tanto, "los atacantes que no son tan conocedores de la tecnología" podrían identificar instancias de MongoDB utilizando el motor de búsqueda Shodan, con la ayuda de un fragmento de código HTML que han desarrollado para buscar las bases de datos expuestas.

"No es un bug complejo, pero su efecto es desastroso. Una base de datos sin protección es similar a una biblioteca pública con una puerta de entrada abierta y sin ningún bibliotecario. Todo el mundo puede entrar".

Para ser claros: los investigadores no han encontrado un fallo en MongoDB sino un error común en que los administradores podrían configurar sus bases de datos.

El error reside en que a menudo se configura el servicio de base de datos para acceder desde IP distintas a la local o directamente se comenta la línea que permite/deniega ese acceso. En el archivo de configuración
  • Linux: /etc/mongodb.conf
  • BSD: /usr/local/etc/mongodb.conf
  • Windows: asignado en la configuración
Se modifica/comenta/elimina la línea por defecto y que indica la IP local:
bindIp: 127.0.0.1
port: 27017
Al eliminar dicha línea, se permite el acceso externo a cualquier usuario en Internet, simplemente con un comando: mongo [IP]
El centro anunció que ya informó del problema a los desarrolladores de MongoDB pero estos no ha confirmado ni negado la veracidad del informe. Sin embargo, han publicado extensa documentación acerca de la seguridad y la configuración de MongoDB y un documento de mejores prácticas seguridad para los usuarios, en donde remarcan que la configuración por defecto es segura y sólo es peligroso si se modifica manualmente.

Fuente: CSO

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!