MongoDB : près de 600 To de données exposées
Il y a toujours près de 30 000 bases de données MongoDB mal configurées laissant leurs données ouvertes à tous sur Internet.
John Matherly est préoccupé. Dans un billet de blog, il alerte : près de 30 000 instances de la célèbre base de données NoSQL MongoDB sont accessibles sur Internet… sans que les mécanismes d’authentification ne soient activés. Ce qui laissera accessibles à tous quelque 595,2 To de données, explique le créateur du moteur de recherche Shodan, utilisé notamment par les chercheurs en sécurité s’intéressant aux objets connectés. La version 2.4.9 de MongoDB est là la plus représentée, avec près de 2 600 instances.
Pour Matherly, le problème tient là à la configuration par défaut des déploiements MongoDB : jusqu’à la version 2.4.14, sortie fin avril dernier, le fichier de configuration par défaut prévoit que le moteur de base de données accepte des connexions de toutes les interfaces réseau, et pas seulement de l’hôte sur lequel il est installé. Une vulnérabilité déjà soulignée… en 2012, relève Matherly. Et de souligner au passage que 40 % des déploiements concernés utilisent une version ancienne de MongoDB, la 1.8.1.
Au total, environ 900 déploiement MongoDB seraient ainsi exposés chez OVH, contre 3400 chez Amazon. Pour le créateur de Shodan, « les images Cloud ne sont pas mises à jour aussi souvent » que celles déployées en interne, « ce qui se traduit par des personnes déployant des version anciennes et vulnérables du logiciel ».
Reste que le problème souligné par Matherly n’est pas nouveau. Des chercheurs l’ont déjà identifié – et dénoncé – en février dernier : en s’appuyant sur Shodan, ils avaient découvert près de 40 000 instances MongoDB ouvertes à tous les vents, dont « une base de données clients d’un opérateur télécoms français avec environ 8 millions d’entrées ».
Les chercheurs estimaient alors que « les documentations et recommandations pour configurer des serveurs MongoDB avec accès à Internet ne sont peut-être pas assez explicites lorsqu’il est question de la nécessité d’activer les mécanismes de contrôle d’accès, d’authentification, et de chiffrement des transferts ». Une légèreté suffisante pour qu’un « administrateur peu expérimenté » configure un serveur Web adossé à MongoDB en laissant une base de données « complètement ouverte et vulnérable telle que n’importe qui peut y accéder, pire, la manipuler ».
Dommage en tout cas que leur message d’alerte n’ait été entendu que pour un quart des instances concernées, en l’espace de tout de même six mois…