Description
Ce rapport identifie des hôtes disposant de la base de données MongoDB NoSQL et accessibles depuis Internet. Bien que l'authentification soit possible pour MongoDB, cette fonction n'est pas activée dans de nombreux cas.
- Notre requête initiale teste pour voir si MongoDB est accessible depuis Internet et recueille les informations divulguées par le système.
- Une deuxième requête est alors effectuée pour déterminer si l’on peut obtenir une liste des bases de données présentes sur le serveur. Si un message d'erreur est généré en réponse à cette requête, le champ « visible_databases » indiquera « none visible ». En revanche, si aucun message d'erreur n'est généré (ce qui indique qu'aucune authentification n'est utilisée), le champ « visible_databases » énumérera les cinq premières bases de données qui ont été renvoyées.
Evaluation
Les entrées de ce rapport correspondent à des hôtes disposant d’un service MongoDB exposé à Internet. Ce service présente de multiples vulnérabilités qui permettent à un pirate informatique d'extraire des données de cette base de données. Le rapport précise la version de MongoDB, ce qui permet de caractériser facilement ces vulnérabilités. De plus, de nombreux services MongoDB ne sont pas sécurisés. Cela signifie qu'un pirate informatique peut en extraire des données et effectuer des modifications sans être authentifié. Des groupes de pirates informatiques comme Unistellar ont mené de telles actions à grande échelle. La probabilité qu'un pirate informatique abuse d'un des services MongoDB détectés est moyenne. Une vérification manuelle est nécessaire afin d’identifier les vulnérabilités et le niveau de sécurité de la configuration du service. Si un pirate informatique réussit à s’introduire dans un service MongoDB, il aura un accès en lecture et/ou en écriture à la base de données. L’impact est jugé élevé.
Recommandations
- Restreindre l'accès au serveur hébergeant la base de données aux réseaux internes.
- Si un accès à distance est nécessaire, il est conseillé d’utiliser un VPN ou, au moins, d’activer l’authentification [2] et à veiller à utiliser des mots de passe complexes.
Rérérences
Shadow Server – MongoDB Scanning Project
MongoDB – Homepage
MITRE – MongoDB CVE