近期，業(yè)內(nèi)出現(xiàn)攻擊者大規(guī)模利用MongoDB 未授權(quán)漏洞，使用腳本通過(guò)掃描公網(wǎng)，成功爆破MongoDB未授權(quán)讀取數(shù)據(jù)庫(kù)、Ransoware攻擊、剝奪原有數(shù)據(jù)。此漏洞影響幾乎全球的MongoDB用戶，因此業(yè)內(nèi)建議廣大的MongoDB用戶需要重視且加強(qiáng)保護(hù)，建立安全可控的網(wǎng)絡(luò)環(huán)境，實(shí)施有效的防護(hù)措施，加強(qiáng)線上安全防護(hù)力度，預(yù)防被攻擊。

MongoDB未授權(quán)漏洞是由于MongoDB未開(kāi)啟身份驗(yàn)證，導(dǎo)致外部可以無(wú)限連接，從而可以實(shí)現(xiàn)MongoDB未授權(quán)訪問(wèn)，訪問(wèn)者完全可以做任何操作，從而被攻擊者利用，很多公司的用戶信息被盜，甚至利用Ransoware攻擊使數(shù)據(jù)庫(kù)及系統(tǒng)遭受重大損失。

因此MongoDB用戶需要重視安全，加強(qiáng)MongoDB的安全控制：

1、使用更強(qiáng)的密碼，強(qiáng)制密碼更新機(jī)制等；

2、實(shí)施限制外部IP訪問(wèn)數(shù)據(jù)庫(kù)；

3、 將訪問(wèn)端口從默認(rèn)端口27017更改為其他不常用的端口；

4、在偵測(cè)外部攻擊時(shí)，及時(shí)阻止IP,攜帶惡意腳本的客戶端；

5、 啟動(dòng)數(shù)據(jù)庫(kù)身份驗(yàn)證；

比如，(MongoDB 2.6版本)啟動(dòng)身份驗(yàn)證，通過(guò)./mongo –qosp指令或者在mongo.conf文件中添加配置項(xiàng)”auth=true”來(lái)開(kāi)啟數(shù)據(jù)庫(kù)；

6、禁止公網(wǎng)訪問(wèn)，僅允許可信公司訪問(wèn)等；

7、定期檢查Mongo的安全，及時(shí)發(fā)現(xiàn)漏洞和用戶操作不當(dāng)；

這樣，MongoDB用戶就可以大大減少漏洞被攻擊的風(fēng)險(xiǎn)，從而提高系統(tǒng)的安全性。總之，MongoDB的安全性是用戶需要自覺(jué)加大保護(hù)力度的，只有正確的使用方法才能保證數(shù)據(jù)安全。