Según un grupo de investigadores de seguridad los
administradores de sistemas que han estado utilizando versiones no actualizadas
y sin parches de MongoDB han estado exponiendo sus datos debido a un fallo en
la configuración por defecto de estas bases de datos. Se calcula que la
cantidad de datos que están comprometidos por utilizan bases de datos MongoDB
mal configuradas es de alrededor de 600TB.
MongoDB es un software de base de datos NoSQL desarrollado y distribuido como software gratuito y de código abierto. A diferencia de otros tipos de bases de datos este guarda los datos como estructuras JSON con un esquema dinámico, siendo así mucho más fácil de integrar en muchas aplicaciones.
Este software de bases de datos lleva en el mercado desde 2007 y
cuenta con un gran número de usuarios, sin embargo, si los administradores de
sistemas no revisan a fondo la configuración es posible que estén exponiendo
las bases de datos en Internet.
Recursos afectados
- Todas
las versiones de MongoDB anteriores a 2.4.14
Detalle e Impacto de la vulnerabilidad
- Como todas las versiones de MongoDB anteriores a 2.4.14 escuchan por defecto la IP 0.0.0.0; lo cual podría permitir a usuarios no autorizados acceder a las bases de datos sin restricciones de red.
- Esta vulnerabilidad fue reportada hace más de 3 años y fue considerada “crítica”, sin embargo no fue solucionada hasta hace dos años. Las versiones más actualizadas de 2.4, aunque cambian este parámetro, configuran su valor como “bind_ip 127.0.0.1“, una configuración también demasiado restrictiva y que termina por exponer los datos si los administradores de sistema no modifican manualmente el fichero de configuración para restringir el acceso a su base de datos.
- No
es la primera vez que esto ocurre. El pasado mes de febrero un grupo de
investigadores alemanes descubrieron que alrededor de 40.000 bases de
datos de este software estaban abiertas en la red permitiendo que
cualquier usuario pudiera acceder a su información.
- Las
bases de datos de MongoDB son muy utilizadas por grandes y prestigiosas
compañías como eBay, Sourceforge, The New York Times y LinkedIn. Aunque
estas compañías sí que tienen sus bases de datos actualizadas y bien
configuradas, la mayoría del resto de usuarios utilizan versiones no
actualizadas y vulnerables que están exponiendo sus datos en la red.
Recomendación
- Se
recomienda a todos los administradores de este software de bases de datos
que se aseguren de tener instalada la última versión (3.0.2 de abril de
2015) o por lo menos una versión superior a la 2.6.7 para evitar seguir
con las bases de datos abiertas en la red.