全部产品
云市场
云游戏

MongoDB数据库未授权访问漏洞

更新时间:2020-08-19 18:29:11

近日阿里云收到国家互联网应急中心(简称:CNCERT)单位关于《阿里云计算有限公司多个系统存在MongoDB未授权访问的情况通报》的通知,您的阿里云主机存在MongoDB数据库未授权访问漏洞,漏洞危害严重,可以导致数据库数据泄露或被删除勒索,从而造成严重的生产事故。为保证您的业务和应用的安全,提供以下漏洞修复指导方案,具体详情如下:

漏洞危害

开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库。

漏洞成因

在刚安装完毕的时候MongoDB都默认有一个admin数据库,此时admin数据库是空的,没有记录权限相关的信息!当admin.system.users一个用户都没有时,即使MongoDB启动时添加了—auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否是以—auth参数启动),直到在admin.system.users中添加了一个用户。加固的核心是只有在admin.system.users中添加用户之后,MongoDB的认证,授权服务才能生效。

修复方案

方案1:不要将MongoDB服务对互联网开放

使用安全组防火墙或本地操作系统防火墙对访问源IP进行严格控制,如果仅对内网服务器提供服务,建议禁止将MongoDB服务发布到互联网上。您可以通过安全组功能管理MongoDB服务器当前的访问控制规则,仅允许与MongoDB数据库依赖的服务器114.114.114.114和114.114.115.115 访问(这里的IP是示例)。

x

方案2:使用—bind_ip选项

该选项可以限制监听接口IP为特定的内网IP, 当在启动MongoDB的时候,使用 --bind_ip 10.0.0.1表示启动IP地址绑定,数据库实例将只监听10.0.0.1内网的请求。

  1. mongod --bind_ip 10.0.0.1

方案3:启动基于角色的登录认证功能

在admin数据库中创建用户,如用户名supper,密码supWDxsf67%H(此处为举例说明,请勿使用此账号密码)。

1)在未开启认证的环境下,登录到数据库

  1. [mongodbrac3 bin]$ ./mongo 127.0.0.1:27028(此处修改了默认端口)
  2. MongoDB shell version: 2.0.1
  3. connecting to: 127.0.0.1:27028/test

2)切换到admin数据库

  1. > use admin
  2. switched to db admin

3)创建管理员账号

账号不要设置为常见账号,密码需要满足一定的复杂度,长度至少八位以上,并包括大小写字母、数字、特殊字符混合体,不要使用生日、姓名、身份证编号等常见密码。


说明:MongoDB从V3版本开始取消使用addUser方法,采用db.createUser方法创建用户。

  1. > db.addUser("supper", "supWDxsf67%H")
  2. { "n" : 0, "connectionId" : 4, "err" : null, "ok" : 1 }
  3. > db.createUser({user:"supper",pwd:"supWDxsf67%H",roles:["root"]})
  4. {
  5. "user" : "supper",
  6. "readOnly" : false,
  7. "pwd" : "51a481f72b8b8218df9fee50b3737c44",
  8. "_id" : ObjectId("4f2bc0d357a309043c6947a4")
  9. }

管理员账号将在system.users中。

  1. > db.getCollectionNames()
  2. [ "system.indexes", "system.users", "system.version" ]

4)验证用户是否创建成功

  1. > db.auth("supper","supWDxsf67%H")
  2. > exit
  3. bye
  4. 结束进程,重启MongoDB服务。
  5. ./mongod --dbpath=/path/mongodb --bind_ip=10.0.0.1 --port=27028 --fork=true logpath=/path/mongod.log --auth &

说明:

  • admin.system.users中将会保存比在其它数据库中设置的用户权限更大的用户信息,拥有超级权限,也就是说在admin中创建的用户可以对mongodb中的其他数据库数据进行操作。

  • MongoDB系统中,数据库是由超级用户来创建的,一个数据库可以包含多个用户,一个用户只能在一个数据库下,不同数据库中的用户可以同名。

  • 特定数据库(比如DB1)的用户User1,不能够访问其他数据库DB2,但是可以访问本数据库下其他用户创建的数据。

  • 不同数据库中同名的用户不能够登录其他数据库,比如DB1、DB2都有user1,以user1登录DB1后,不能够登录到DB2进行数据库操作。

  • 在admin数据库创建的用户具有超级权限,可以对mongodb系统内的任何数据库的数据对象进行操作。

  • 使用db.auth()可以对数据库中的用户进行验证,如果验证成功则返回1,否则返回0。 db.auth()只能针对登录用户所属的数据库的用户信息进行验证,不能验证其他数据库的用户信息。

风险自查

如果您是MongoDB管理员,也可以使用以下方式检查是否有进一步的入侵行为:

  • 查看MongoDB的日志是否完整,并确认执行删除数据库的源IP地址和时间、行为;
  • 检查MongoDB帐户以查看是否存在未添加密码(admin)账户(使用db.system.users.find()命令);
  • 检查GridFS以查看是否有人存储任何文件(使用db.fs.files.find()命令);
  • 检查日志文件以查看谁访问了MongoDB(show log global命令);
  • 您可以使用云安全中心应急漏洞功能一键核查。