Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Descubren miles de Bases de Datos desprotegidas en Internet


Las bases de datos son la piedra angular de cada pieza de tecnología que existe en en Internet. A medida que más elementos en todo el mundo se conectan a Internet, también aumenta el riesgo de exposición a datos confidenciales. En los últimos años, las filtraciones de datos a gran escala se han vuelto tan comunes que la filtración de unos pocos millones de registros parece poco notable. Una de las razones más comunes que quedan enterradas debajo de los titulares son las bases de datos mal aseguradas o no autenticadas que se conectan directamente a Internet.


Descubren Miles de bases de datos no autenticadas expuestas en Internet

Alrededor del 40% de las exposiciones contienen activos sin seguimiento que tienen contenido sensible no autenticado expuesto en Internet. Si bien estos recursos van desde repositorios de código fuente no autenticados hasta documentación interna, sistemas / portales de consulta, paneles de control, etc., las bases de datos no autenticadas ocuparon el primer lugar. Estas BD expuestos no solo se descubren con mucha frecuencia, sino que también son bastante críticos en términos de impacto y aumentan las variedades de superficie de ataque.


Descubriendo bases de datos inseguras

Uno de los primeros pasos de esta idea fue elegir las bases de datos que deberíamos cubrir en nuestra investigación. Se seleccionaron un total de ocho bases de datos para nuestra investigación, cada una de las cuales estudiamos ingeniosamente en nuestro entorno doméstico:


  • MongoDB
  • ElasticSearch
  • Redis
  • Memcached
  • Apache CouchDB
  • Apache Cassandra
  • RethinkDB
  • Hadoop HBase


Con un escáner teniendo en cuenta tanto la velocidad como la precisión para cubrir todo Internet respetando nuestras listas de exclusión. Decidimos mantener esto muy no intrusivo haciendo uso de un escaneo uniforme de un solo paquete en todo el espacio IPv4. E

MongoDB


MongoDB es un programa de base de datos orientado a documentos multiplataforma de código abierto y es una de las bases de datos NoSQL más populares que utiliza objetos de almacenamiento similares a JSON. Aunque las versiones recientes de MongoDB implementan políticas estrictas de ACL, las versiones anteriores a la 2.6.0 escuchaban las conexiones en todas las interfaces de forma predeterminada. Naturalmente, cualquier instalación predeterminada estaría abierta a conexiones no autenticadas de Internet.


  • Se encontraron un total de 21,387 bases de datos no autenticadas / expuestas. [Mapa]


Afortunadamente, las últimas versiones de MongoDB ahora escuchan de forma predeterminada solo las conexiones locales. Sin embargo, nuestra investigación sugiere que no son solo los valores predeterminados inseguros detrás de estas exposiciones, ya que la mayoría de las versiones no seguras de MongoDB eran superiores a la 2.6.0.

A pesar de los esfuerzos del equipo de MongoDB para encontrar las mejores prácticas de seguridad, una gran parte de las bases de datos aún no están autenticadas y están abiertas a Internet.

Elasticsearch


Elasticsearch es una base de datos orientada a documentos NoSQL destinada a búsquedas, análisis y visualización de alto rendimiento. En esencia, Elasticsearch implementa diferentes políticas de ACL para diferentes versiones de su software que varían de una licencia a otra. De los documentos de elasticsearch, si "usa la licencia gratuita / básica, las funciones de seguridad de Elasticsearch están deshabilitadas de forma predeterminada". Para otras licencias empresariales, la autenticación está activada.


  • Se identificamos un total de 20.098 instancias de elasticsearch expuestas. Los PI vulnerables se distribuyeron en 104 países y 982 ciudades. [Mapa ]



Como medida de seguridad, con las versiones recientes de ElasticSearch, las instalaciones predeterminadas incluyen un encabezado de Advertencia que implica que las "características de seguridad integradas no están habilitadas":


Redis

Redis es un sistema de almacenamiento de estructura de datos en memoria que se puede utilizar como bases de datos de pares clave-valor, cachés o como intermediarios de mensajes. Fue diseñado para que lo utilicen clientes de confianza en un entorno de confianza, sin características de seguridad sólidas propias. Aunque los documentos establecen claramente que "el acceso al puerto de Redis se debe negar a todos, excepto a los clientes de confianza en la red", descubrimos una gran cantidad de bases de datos en la naturaleza.

  • Durante la investigación, se encontraron n un total de 20,528 bases de datos no seguras. [Mapa]



Como remedio a la alarmante cantidad de usuarios que no lograron proteger sus instancias de Redis, los desarrolladores decidieron introducir el "Modo protegido" a partir de la versión 3.2.0, mediante el cual Redis solo responde a las consultas de las interfaces de bucle invertido. Los clientes que se conectan desde otras direcciones reciben un mensaje de error que explica cómo configurar Redis correctamente. Sin embargo, a pesar de las medidas de seguridad que se tomaron para remediar esto, la mayoría de las instancias de Redis expuestas tenían versiones> 3.2.


Memcached

Similar a Redis, Memcached es otro sistema de almacenamiento en caché de memoria distribuida de uso general que se usa a menudo para acelerar las funciones de la base de datos. En términos de seguridad, Memcached tampoco implementa ningún mecanismo de autenticación y escucha en todas las interfaces de forma predeterminada. Este comportamiento ya ha demostrado ser peligroso en el pasado debido a los ataques de denegación de servicio de amplificación.


  • Se encontramos un total de 25.575 servidores Memcached expuestos públicamente en la investigación. [Mapa ]



Apache CouchDB


CouchDB es una base de datos NoSQL muy popular similar a MongoDB. Desde sus inicios, CouchDB ha seguido un enfoque "abierto de forma predeterminada" que hizo que la instalación predeterminada fuera vulnerable a los ataques.


  • Se encontraon un total de 1.977 instancias de CouchDB no seguras.

Afortunadamente, con el desarrollo de v3.0, los desarrolladores de CouchDB finalmente han decidido dar un paso adelante y cambiar a un enfoque "seguro por defecto" en lugar del enfoque "abierto por defecto". Esto requiere configurar cuentas administrativas antes de inicializar una base de datos. Una observación válida de las bases de datos de CouchDB es que la mayoría de las versiones de la base de datos están por debajo de 3.0.


Apache Cassandra

Apache Cassandra es una base de datos distribuida NoSQL de código abierto para escalabilidad y alta disponibilidad y rendimiento. Sin embargo, desde una perspectiva de seguridad, una instalación predeterminada puede considerarse lista para ser comprometida. Citando documentos de Cassandra:

    De forma predeterminada, estas funciones (de seguridad) están deshabilitadas ya que Cassandra está configurada para buscar y ser encontrada fácilmente por otros miembros de un clúster. En otras palabras, una instalación de Cassandra lista para usar presenta una gran superficie de ataque para un mal actor.


  • En la investigación, encontraron 3.340 bases de datos expuestas a Internet sin ninguna autenticación. 


Las versiones de Cassandra más vulnerables se muestran en el gráfico a continuación. Curiosamente, la v2.0.15 comprendía casi el 70% de las versiones de servidor vulnerables.

RethinkDB

RethinkDB es otra base de datos de código abierto que utiliza documentos JSON con esquemas dinámicos para el procesamiento de datos en tiempo real. De forma predeterminada, admin es la cuenta integrada que tiene todos los permisos de un ámbito global pero no tiene contraseña. Ahora viene la parte divertida: la interfaz de administración web siempre se conecta con privilegios de administrador sin autenticación. Agregando más combustible al fuego, no hay forma de que pueda habilitar la autenticación en la interfaz de usuario de administración web en absoluto. La única forma de protegerlo es cambiando la interfaz en la que el clúster escucha las conexiones.

  • Durante la investigación, se encontraon 570 bases de datos expuestas abiertas a Internet.

Sorprendentemente, una de las mejores versiones de RethinkDB incluía una versión extremadamente antigua: 1.16.2-1 (lanzada en 2015). 


Hadoop HBase

Apache HBase, a menudo conocida como la base de datos Hadoop, es un sistema de almacenamiento de big data distribuido. El ecosistema de Hadoop es bastante complejo y tiene múltiples dependientes, incluidos HDFS, YARN y Zookeeper. Obviamente, el proceso de autenticación también es bastante complejo. HBase implementa la autorización en el nivel de RPC a través de Kerberos, ya que sigue estrictamente SASL. Una vez más, la instalación predeterminada no incluye ningún requisito de autenticación (hbase-default.xml)


  • Durante el estudio de investigación se descubrieron un total de 1.846 instalaciones de HBase no seguras. 


Hadoop también se envía con una interfaz de administración WebUI que permite un fácil acceso, incluido el acceso completo de lectura / escritura al sistema de archivos (HDFS). Notamos que todas las bases de datos vulnerables también incluían una WebUI HTTP no autenticada a través del puerto 50.070 expuesta a Internet. Esto amplía la superficie de ataque ya que la presencia de una WebUI simplifica el proceso del atacante.

También se descubrió que la mayoría de las bases de datos no seguras también tenían abierto el puerto 2.181 (Zookeeper), lo que indica que toda la infraestructura está lista para su explotación. La participación de múltiples componentes dentro del ecosistema de Hadoop aumenta significativamente la superficie de ataque en general.



Valores predeterminados inseguros

Una de las similitudes sorprendentemente más comunes entre las bases de datos que estudiamos fue la configuración insegura que viene con las instalaciones de base de datos predeterminadas. Mucha gente discute a menudo sobre el hecho de que tales configuraciones son un intento de equilibrar la usabilidad y la seguridad, pero no es un problema menor. Cualquier presunción del hecho de que las bases de datos se instalarán a propósito con considerables medidas de seguridad es una falacia total. Afortunadamente, algunos de t Los desarrolladores de bases de datos se han esforzado para resolver este problema de forma colectiva siguiendo una estrategia de "seguridad por defecto".

Falta de conciencia

Al descubrir la gran cantidad de bases de datos abiertas en Internet, de alguna manera sentimos que no hay suficiente conciencia entre los desarrolladores. De las estadísticas anteriores, está claro que a pesar de que las bases de datos vienen con instalaciones seguras, se dejan abiertas a Internet por alguna razón. El conocimiento del contexto de seguridad es muy importante a la hora de crear un producto orientado a Internet. Se debe alentar a los desarrolladores a que revisen la documentación oficial a fondo (especialmente al configurar la seguridad) antes de configurar cualquier infraestructura.

La TI en la sombra o la infraestructura implementada sin un seguimiento adecuado pueden provocar el robo de datos críticos si no se descubren temprano. Los activos de información de misión crítica, las "joyas de la corona" de una organización, son activos de información de mayor valor y causarían un gran impacto comercial si se vean comprometidos. Estos activos de alto valor deben controlarse y administrarse continuamente a lo largo del ciclo de vida del desarrollo para que se puedan tomar las medidas adecuadas antes de que se produzca una exposición.

Impacto

Las consecuencias de una base de datos expuesta pueden ser devastadoras, que pueden ir desde la violación de datos existentes hasta el abuso y la escalada de privilegios hasta el compromiso. Una infracción típica puede tener efectos muy destructivos en la reputación de la empresa y puede afectar gravemente a la fiabilidad de la base del consumidor.

Fuentes:

https://redhuntlabs.com/blog/thousands-of-unauthenticated-databases-exposed-on-the-internet.html


1 comentarios :

Santiago José López Borrazás dijo...

Tan inseguro como bien se demuestra. Esto yo ya lo sabía. Lo que yo no entiendo es, el cómo tienen que usar proyectos que no se mantienen.

Saludos.

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.