В начале года группа исследователей обратила внимание на наличие в сети около 40 тысяч серверов MongoDB, доступных для внешних запросов из-за проблем с настройкой аутентифицированного доступа. Джон Мазерли (John Matherly), создатель поискового движка Shodan, спустя десять месяцев повторил опыт и пришёл к выводу, что в сети до сих пор присутствует около 35 тысяч незащищённых серверов MongoDB, общий размер данных на которых составляет 684.8 Тб.

Среди доступных для свободного доступа данных оказалось более 25 млн пользовательских аккаунтов различных приложений и сервисов. Из информации, которую можно получить через обращение к незащищённым серверам MongoDB, отмечаются приватные сообщения пользователей, персональные данные абонентов и хэши паролей. В том числе проблемы с настройкой доступа к MongoDB стали причиной утечки параметров 13 миллионов пользователей программы MacKeeper, предназначенной для оптимизации OS X. Большинство незащищённых экземпляров MongoDB размещены на облачных хостингах от Amazon, DigitalOcean и Aliyun/Alibaba.

Примечательно, что проведение аналогичного исследования в июле выявило лишь около 30 тысяч незащищённых серверов MongoDB и с тех пор число открытых БД MongoDB увеличилось на 5 тысяч. При этом наиболее популярной версией MongoDB среди незащищённых систем является 3.0.7, что вызывает удивление, так как начиная с версии 3.0 MongoDB по умолчанию принимает только локальные запросы, прикрепляясь к интерфейсу "localhost". Т.е. для приёма запросов с внешних адресов требуется явное изменение настроек по умолчанию, ведущее к снижению безопасности. Судя по всему, подобные незащищённые настройки могли стать следствием невнимательного обновления с ветки 2.x, в которой настройки по умолчанию подразумевали присоединение ко всем сетевым интерфейсам без задания параметров аутентификации.

По данным исследователя, ситуация с MongoDB не уникальна и открытие неаутентифицируемого доступа к БД через внешний сетевой интерфейс также наблюдается для таких NoSQL-систем, как Memcached, Redis, CouchDB, Cassandra и Riak. Проведение похожего анализа для Memcached выявило около 130 тысяч незащищённых экземпляров, доступных извне. Размер прокэшированных в них данных оценен в 8 Тб, а суммарных размер образуемого ими хранилища - 49 Пб. При желании злоумышленники могут использовать открытые экземпляры Memcached для хранения своих данных или для организации атак через подстановку фиктивных записей в кэш.

Для проведения исследования использовался сервис Shodan, который в отличие от традиционных поисковых систем осуществляет поиск устройств, доступных для обращений по Сети. Например, Shodan можно использовать для выявления серверов с определённым открытым сетевым портом или для поиска устройств, относящихся к категории "интернет вещей". Сервис предоставляет достаточно неплохую детализацию, например, его можно использовать для оценки степени внедрения HTTP/2 в глобальной сети (несмотря на объявление протокола SPDY устаревшим, число серверов с его поддержкой пока в шесть раз превышает число серверов с поддержкой HTTP/2).

Источник: http://www.opennet.ru/opennews/art.shtml?num=43540