Neurohazard
暮雲煙月,皓首窮經;森羅萬象,如是我聞。

MongoDB 未授权访问

wpadmin~October 31, 2018 /InfoSec

MongoDB 未授权访问

基本信息

默认端口 27017
28017 (HTTP 管理)

漏洞成因

1 MongoDB 默认不需要设置管理账号
2 /etc/mongod.conf 文件中未启用 auth=true 或者在启动时未添加 --auth 参数
3 配置文件中的 bind_ip 默认的监听端口为 0.0.0.0

漏洞危害

1 攻击者可以未授权操作数据库
影响数据安全性、完整性。
很常见的一种操作就是攻击者会加密数据库或者(先备份再)删除数据库,然后勒索。

漏洞修复

1 在 mongodb 的 admin collection 中增加用户,设置复杂的密码
2 配置文件 /etc/mongod.conf 中设置 auth=true
3 配置文件 /etc/mongod.conf 中设置 bind_ip=127.0.0.1 或者其他内网 IP (如无必要尽可能不要暴露在公网)

或者考虑设置 ACL 认证 (iptables), 仅允许信任的 IP 访问。

Leave a Reply

Your email address will not be published. Required fields are marked *