[1060223]【漏洞預警】NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容

【漏洞預警】NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,恐有資訊洩露或遭惡意利用之疑慮,請盡速確認並進行修正

影響等級:

發現時間:2017-02-22 00:00:00

 

轉發教育機構ANA通報平台公告-

 

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201702-0033

安全研究人員Victor Gevers於2016/12/27揭露針對NoSQL資料庫的勒索攻擊手法,由於NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,估計全球至少45,000個NoSQL資料庫內容遭駭客刪除並勒索。

技服中心接獲外部情資發現,部分會員之NoSQL資料庫暴露於網際網路中,恐遭駭客入侵之虞,請各會員盤點與檢視是否使用相關資料庫,加強權限控管並避免使用公開的網際網路位置,以及加強防範措施。

 

影響平台:

允許未授權外部使用者進行連線之NoSQL資料庫

 

建議措施:

1. 常見NoSQL資料庫包括Redis(6379埠口) 、CouchDB(5984埠口)、MongoDB(27017埠口)、Cassandra(9042或9160埠口)及ElasticSearch(9200埠口),請會員進行內部盤點與檢視是否使用相關NoSQL資料庫。

2. 定期備份資料庫資料

3. 資料庫建立權限控管機制,不允許非授權之使用者進行資料存取。

4. 資料庫所有帳號設定強健的密碼,非必要使用的帳號請將其刪除或停用。

5. 建議資料庫不要使用公開的網際網路位置,如無法避免使用公開的網際網路位置,建議資料庫前端需有防火牆防護,並採用白名單方式進行存取過濾。

6. 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠。

7. 若無防火牆可考慮安裝防火牆或於 Windows 平台使用 Windows XP/7/8/2008 內建之Internet Firewall/Windows Firewall或 Windows 2000 之 TCP/IP 篩選功能。Linux平台可考慮使用 iptables 等內建防火牆。

8. 建議將資料庫更新至最新版本

 

參考資料:

1. The Ransomware Problem: Database Security in 2017 (https://www.hurricanelabs.com/blog/ransomware-problem-database-security-2017)

2. MongoDB Databases Held for Ransom by Mysterious Attacker(https://www.bleepingcomputer.com/news/security/mongodb-databases-held-for-ransom-by-mysterious-attacker/)

3. MongoDB Manual-Security(https://docs.mongodb.com/manual/security/)

4. Elasticsearch Shield(https://www.elastic.co/products/shield)

 

Additional information