MongoDB phpMoAdmin GUI TOOL-ZERO-DAY Vulnerabilidad Pone Sitios Web en Riesgo

Noticias

Cerca de dos semanas atrás, más de 40.000 organizaciones que ejecutan MongoDB se encontraron desprotegidos y vulnerables a los hackers. Ahora, una vez más, los usuarios de la base de datos MongoDB están en riesgo debido a una crítica del día cero. 

 
MongoDB es una de las bases de datos principales NoSQL de código abierto utilizado por empresas de todos los tamaños, en todas las industrias para una amplia variedad de aplicaciones. Al aprovechar la computación in-memory, MongoDB proporciona un alto rendimiento tanto para la lectura y escritura.
 
'PhPMoAdmin' ZERO-DAY VULNERABILITY
 
Un Hacker conocido por el apodo", sp1nlock" ha encontrado una vulnerabilidad de día cero en 'phpMoAdmin',  libre de código abierto, escrito en MongoDB GUI (interfaz gráfica de usuario) herramienta de administración basada en AJAX PHP, que le permite fácilmente gestionar la base de datos NoSQL MongoDB.
 
phpMoAdmin es vulnerable a Zero-Day Remote Code Execution flaw  "Fálla de ejecución de código" que permite a un usuario remoto no autorizado secuestrar los sitios web que ejecutan la herramienta phpMoAdmin.
 
Podría ser posible que un número de personas y hackers ya tengan  acceso a la phpMoAdmin cero-día, por desgracia, no hay parche disponible todavía para miles de sitios web vulnerables.

 

¿Cómo proteger MongoDB?

Con el fin de protegerse a sí mismo, se recomienda a los usuarios de la base de datos MongoD evitar el uso de phpMoAdmin hasta que el equipo de desarrollo lanza parches para el código de vulnerabilidad de ejecución remota de día cero.

Como una alternativa a la phpMoAdmin, puede hacer uso de otras herramientas gratuitas MongoDB GUI disponibles, de la siguiente manera:

  • RockMongo – A Powerful MongoDB GUI Tool
  • MongoVUE – A Desktop based MongoDB GUI Tool
  • Mongo-Express – A well featured MongoDB GUI Tool
  • UMongo – A Decent MongoDB GUI Tool
  • Genghis – A lightweight MongoDB GUI Tool

Sin embargo, si usted no desea reemplazar el archivo phpMoAdmin, entonces el enfoque más simple sería restringir el acceso no autorizado mediante contraseña htaccess es decir, la creación de autenticación ".htpasswd" para la carpeta que contiene el archivo "moadmin.php".

Categorías » Noticias
En Mar. 6, 2015