【漏洞預警】NoSQL資料庫預設配置無身分驗證機制，導致駭客可任意連線竄改資料庫內容，恐有資訊洩露或遭惡意利用之疑慮，請盡速確認並進行修正

影響等級：低
發現時間：2017-02-22 00:00:00



轉發教育機構ANA通報平台公告－

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201702-0033
安全研究人員Victor Gevers於2016/12/27揭露針對NoSQL資料庫的勒索攻擊手法，由於NoSQL資料庫預設配置無身分驗證機制，導致駭客可任意連線竄改資料庫內容，估計全球至少45,000個NoSQL資料庫內容遭駭客刪除並勒索。

技服中心接獲外部情資發現，部分會員之NoSQL資料庫暴露於網際網路中，恐遭駭客入侵之虞，請各會員盤點與檢視是否使用相關資料庫，加強權限控管並避免使用公開的網際網路位置，以及加強防範措施。



影響平台:

允許未授權外部使用者進行連線之NoSQL資料庫



建議措施:

1. 常見NoSQL資料庫包括Redis(6379埠口) 、CouchDB(5984埠口)、MongoDB(27017埠口)、Cassandra(9042或9160埠口)及ElasticSearch(9200埠口)，請會員進行內部盤點與檢視是否使用相關NoSQL資料庫。

2. 定期備份資料庫資料。

3. 資料庫建立權限控管機制，不允許非授權之使用者進行資料存取。

4. 資料庫所有帳號設定強健的密碼，非必要使用的帳號請將其刪除或停用。

5. 建議資料庫不要使用公開的網際網路位置，如無法避免使用公開的網際網路位置，建議資料庫前端需有防火牆防護，並採用白名單方式進行存取過濾。

6. 檢驗防火牆規則，確認個別系統僅開放所需對外提供服務之通訊埠。

7. 若無防火牆可考慮安裝防火牆或於 Windows 平台使用 Windows XP/7/8/2008 內建之Internet Firewall/Windows Firewall或 Windows 2000 之 TCP/IP 篩選功能。Linux平台可考慮使用 iptables 等內建防火牆。

8. 建議將資料庫更新至最新版本。


參考資料:
1. The Ransomware Problem: Database Security in 2017 (https://www.hurricanelabs.com/blog/ransomware-problem-database-security-2017)

2. MongoDB Databases Held for Ransom by Mysterious Attacker(https://www.bleepingcomputer.com/news/security/mongodb-databases-held-for-ransom-by-mysterious-attacker/)

3. MongoDB Manual-Security(https://docs.mongodb.com/manual/security/)

4. Elasticsearch Shield(https://www.elastic.co/products/shield)