MongoDB, nuova apocalisse dei database insicuri

I recenti casi di compromissione dei database NoSQL sono responsabilità degli amministratori di sistema, dice MongoDB, mentre nuove impostazioni di sicurezza "rafforzate" arriveranno con la nuova release del software
I recenti casi di compromissione dei database NoSQL sono responsabilità degli amministratori di sistema, dice MongoDB, mentre nuove impostazioni di sicurezza "rafforzate" arriveranno con la nuova release del software

L’ultimo attacco contro i database MongoDB che ha recentemente devastato decine di migliaia di server? Stando alle comunicazioni ufficiali dell’azienda sviluppatrice, la responsabilità principale va ascritta a chi aveva il compito di amministrare i suddetti database e non ha configurato correttamente le relative impostazioni di sicurezza.

I commenti di MongoDB Inc. fanno riferimento all’ondata di attacchi contro i database NoSQL in standard MongoDB registrati due settimane fa , un’azione simile a quella avvenuta a inizio anno con la cancellazione dei dati all’interno degli archivi e la richiesta di un riscatto per l’eventuale (quanto impossibile) ripristino delle informazioni.

I ricercatori hanno tenuto il conto dei database coinvolti e il conto delle “vittime” degli ultimi attacchi è arrivato a più di 26.000 server , con un singolo gruppo di cyber-criminali responsabile da solo della compromissione di 22.000 sistemi MongoDB.

La vulnerabilità dei database MongoDB risale a più di tre anni fa , quando l’azienda sviluppatrice ha rilasciato la versione 2.6.0 con integrata una configurazione di default che permetteva l’accesso di livello admin sia dal localhost che da altri indirizzi di rete. A peggiorare la situazione, l’account admin standard non includeva alcuna password.

I problemi di MongoDB 2.6.0 sono stati corretti velocemente ma questo non ha impedito la proliferazione della versione vulnerabile, e il successivo lavoro degli hacker ha permesso di eliminare dalla Rete i database non sicuri.

Nulla di tutto ciò riguarda però gli attacchi di inizio settembre, dice MongoDB; in questo caso la responsabilità sarebbe degli amministratori di sistema , che avrebbero volontariamente esposto i rispettivi database su Internet senza impostare una password di accesso. Con la futura release 3.6.x di MongoDB , dice l’azienda, il binding obbligatorio sul localhost verrà implementato di default risolvendo il problema alla radice.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

12 09 2017
Link copiato negli appunti