漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-065967
漏洞标题:金山毒霸企业版MongoDB配置不当存在安全隐患
相关厂商:金山毒霸
漏洞作者: ihacku
提交时间:2014-06-23 18:37
修复时间:2014-09-21 18:38
公开时间:2014-09-21 18:38
漏洞类型:默认配置不当
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-06-23: 细节已通知厂商并且等待厂商处理中
2014-06-24: 厂商已经确认,细节仅向厂商公开
2014-06-27: 细节向第三方安全合作伙伴开放
2014-08-18: 细节向核心白帽子及相关领域专家公开
2014-08-28: 细节向普通白帽子公开
2014-09-07: 细节向实习白帽子公开
2014-09-21: 细节向公众公开
简要描述:
金山毒霸企业版MongoDB配置不当,使用默认口令。
MongoDB为金山毒霸企业版云平台控制台所用。
详细说明:
金山毒霸企业版MongoDB配置不当,使用默认口令 admin admin即可连接。
管理员密码使用MD5加密,使用admin 解密后的密码即可登录后台 ip:6868/login ,可以看到企业内网ip等信息。
此外请关闭 ip:28017 web管理界面。
masscan扫描了3个A段,测试发现默认口令的MongoDB服务器金山毒霸企业版大概占到30%。虽然mongo shell功能有限,对host做不了什么,但是存在被恶意利用作为僵尸MongoDB MapReduce集群的可能性。(虽然没见过案例,但是黑客玩大数据也是个趋势)
漏洞证明:
修复方案:
随机生成MongoDB密码,仅允许localhost访问MongoDB,使用sha1+salt存储管理员密码,禁用web管理界面。
版权声明:转载请注明来源 ihacku@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2014-06-24 09:52
厂商回复:
非常感谢,我们将尽快确认和修复。
最新状态:
暂无