物联网搜索引擎Shodan创始人JohnMatherly声称,由于不安全的配置和一些未打补丁的流行数据库软件MongoDB595.2T数据版本,系统管理员被暴露。1T=1024GeBay、Foursquare、《纽约时报》都是开源数据库MongoDB的大用户,MongoDB是一种非关系型(NoSQL)数据库。Matherly说,近30,000个数据库因使用未绑定到本地主机的旧版本而暴露。共有595.2TB的数据暴露在互联网上,无需任何身份验证即可公开访问。MongoDB最近在4月28日发布了2.4.14维护版本,依然默认开启0.0.0.0端口监听。早在2012年2月,安全官RomanSteinman就指出MongoDB存在一个不需要身份验证的高危漏洞。Steinman指出,漏洞版本没有在配置文件mongodb.conf中设置绑定本地IP,即“bind_ip127.0.0.1”。Matherly表示,2.6版本的数据库实例也可能受此漏洞影响。他指出,大多数暴露的数据库实例都在云服务器上运行,包括DigitalOcean、Amazon、Linode和OVH,云实例比数据中心主机更容易受到漏洞的影响。“我感觉云镜像不是经常更新,所以不安全的版本和之前部署的旧版本不能保证安全。”
