Alfonso Maruccia

MongoDB, nuova apocalisse dei database insicuri

I recenti casi di compromissione dei database NoSQL sono responsabilitÓ degli amministratori di sistema, dice MongoDB, mentre nuove impostazioni di sicurezza "rafforzate" arriveranno con la nuova release del software

Roma - L'ultimo attacco contro i database MongoDB che ha recentemente devastato decine di migliaia di server? Stando alle comunicazioni ufficiali dell'azienda sviluppatrice, la responsabilità principale va ascritta a chi aveva il compito di amministrare i suddetti database e non ha configurato correttamente le relative impostazioni di sicurezza.

I commenti di MongoDB Inc. fanno riferimento all'ondata di attacchi contro i database NoSQL in standard MongoDB registrati due settimane fa, un'azione simile a quella avvenuta a inizio anno con la cancellazione dei dati all'interno degli archivi e la richiesta di un riscatto per l'eventuale (quanto impossibile) ripristino delle informazioni.

I ricercatori hanno tenuto il conto dei database coinvolti e il conto delle "vittime" degli ultimi attacchi è arrivato a più di 26.000 server, con un singolo gruppo di cyber-criminali responsabile da solo della compromissione di 22.000 sistemi MongoDB.
La vulnerabilità dei database MongoDB risale a più di tre anni fa, quando l'azienda sviluppatrice ha rilasciato la versione 2.6.0 con integrata una configurazione di default che permetteva l'accesso di livello admin sia dal localhost che da altri indirizzi di rete. A peggiorare la situazione, l'account admin standard non includeva alcuna password.

I problemi di MongoDB 2.6.0 sono stati corretti velocemente ma questo non ha impedito la proliferazione della versione vulnerabile, e il successivo lavoro degli hacker ha permesso di eliminare dalla Rete i database non sicuri.

Nulla di tutto ciò riguarda però gli attacchi di inizio settembre, dice MongoDB; in questo caso la responsabilità sarebbe degli amministratori di sistema, che avrebbero volontariamente esposto i rispettivi database su Internet senza impostare una password di accesso. Con la futura release 3.6.x di MongoDB, dice l'azienda, il binding obbligatorio sul localhost verrà implementato di default risolvendo il problema alla radice.

Alfonso Maruccia
Notizie collegate
  • SicurezzaMongoDB, database in ostaggioIl ransomware prende di mira anche le installazioni del software non correttamente configurate. Ma pi¨ che un ricatto a scopo di estorsione, si tratta di una truffa
7 Commenti alla Notizia MongoDB, nuova apocalisse dei database insicuri
Ordina