:::

[訊息轉發]【漏洞預警】NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,恐有資訊洩露或遭惡意利用之疑慮,請盡速確認並進行修正(ANA事件單通知:TACERT-ANA-2017022309021212)

劉道光於2017/02/23 09:40:58發表此文章

此篇文章修改於2017/02/23 09:40:57


教育機構ANA通報平台

發佈編號 TACERT-ANA-2017022309021212
發佈時間 2017-02-23 09:20:14
事故類型 ANA-漏洞預警
發現時間 2017-02-22 00:00:00
影響等級 低

[主旨說明:]【漏洞預警】NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,恐有資訊洩露或遭惡意利用之疑慮,請盡速確認並進行修正

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201702-0033

安全研究人員Victor Gevers於2016/12/27揭露針對NoSQL資料庫的勒索攻擊手法,由於NoSQL資料庫預設配置無身分驗證機制,導致駭客可任意連線竄改資料庫內容,估計全球至少45,000個NoSQL資料庫內容遭駭客刪除並勒索。

技服中心接獲外部情資發現,部分會員之NoSQL資料庫暴露於網際網路中,恐遭駭客入侵之虞,請各會員盤點與檢視是否使用相關資料庫,加強權限控管並避免使用公開的網際網路位置,以及加強防範措施。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]
允許未授權外部使用者進行連線之NoSQL資料庫

[建議措施:]
1. 常見NoSQL資料庫包括Redis(6379埠口) 、CouchDB(5984埠口)、MongoDB(27017埠口)、Cassandra(9042或9160埠口)及ElasticSearch(9200埠口),請會員進行內部盤點與檢視是否使用相關NoSQL資料庫。
2. 定期備份資料庫資料
3. 資料庫建立權限控管機制,不允許非授權之使用者進行資料存取。
4. 資料庫所有帳號設定強健的密碼,非必要使用的帳號請將其刪除或停用。
5. 建議資料庫不要使用公開的網際網路位置,如無法避免使用公開的網際網路位置,建議資料庫前端需有防火牆防護,並採用白名單方式進行存取過濾。
6. 檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠。
7. 若無防火牆可考慮安裝防火牆或於 Windows 平台使用 Windows XP/7/8/2008 內建之Internet Firewall/Windows Firewall或 Windows 2000 之 TCP/IP 篩選功能。Linux平台可考慮使用 iptables 等內建防火牆。
8. 建議將資料庫更新至最新版本

[參考資料:]
1. The Ransomware Problem: Database Security in 2017 (https://www.hurricanelabs.com/blog/ransomware-problem-database-security-2017)
2. MongoDB Databases Held for Ransom by Mysterious Attacker(https://www.bleepingcomputer.com/news/security/mongodb-databases-held-for-ransom-by-mysterious-attacker/)
3. MongoDB Manual-Security(https://docs.mongodb.com/manual/security/)
4. Elasticsearch Shield(https://www.elastic.co/products/shield)

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw