Top menu

Обнаружение открытых баз данных MongoDB и Elasticsearch

Какое-то время назад среди исследователей безопасности было очень «модно» находить неправильно сконфигурированные облачные хранилища AWS с разного рода конфиденциальной информацией. Я тогда даже опубликовал небольшую заметку про то, как обнаруживают открытые облачные хранилища Amazon S3.

Однако, время идет и акцент в исследовательских изысканиях сместился на поиск оставленных в открытом доступе баз данных. Более половины известных случаев крупных утечек данных за прошлый год - это утечки из открытых баз (обзор утечек за 2018 год тут и тут).

Не открою Америки, если скажу, что основными инструментами для поиска открытых баз данных являются специализированные поисковики Shodan.io, BinaryEdge.io и Censys.io. Сразу оговорюсь, что это не бесплатные сервисы (в случае Shodan это $59/месяц, BinaryEdge - $50/месяц, а за Censys - $99/месяц, и это только за минимальные базовые пакеты). Бесплатные версии поисковиков сильно ограничивают количество результатов в выдаче.

Помимо классического Google-подобного поиска с помощью поисковой строки, эти поисковики предоставляют возможность подключаться к ним через API. Счастливый обладатель платной подписки получит свой API-ключ. Это позволяет существенным образом облегчить задачу разгребания кучи поискового мусора. Список полезных скриптов и программ автоматизации процесса поиска, использующих API-ключи я привел в конце этой статьи.

Давайте рассмотрим на примере поисковика Shodan, как найти открытые базы данных MongoDB и Elasticsearch.

Самый простой и очевидный запрос, который напрашивается это «MongoDB»:

Простой поисковый запрос в Shodan

Как видно из скриншота, этот запрос вернул нам все проиндексированные сервера MongoDB (на дефолтном 27017 порту). Причем большинство из них (на скриншоте это первые три) будут закрытыми БД, требующими учетных записей для подключения. А это не совсем то, что нам интересно. Точнее, это совсем не то.

Немного усложним запрос, используя поисковые фильтры «all:"mongodb server information" all:"metrics"»:

Поисковый запрос с фильтрами в Shodan

Результат выглядит уже намного лучше. Все найденные базы были свободно доступными на момент, когда их проиндексировал поисковик. С большой долей вероятности к ним можно будет подключиться по указанным IP-адресам, используя какой-либо менеджер для MongoDB (например, NoSQL Manager for MongoDB или Studio 3T for MongoDB).

Можно ограничить область поиска какой-либо страной. Скажем, давайте поищем открытые MongoDB в Китае (запрос «all:"mongodb server information" all:"metrics" country:"cn"»):

Поисковый запрос с фильтром по стране в Shodan

Для поиска открытых баз Elasticsearch удобно использовать запрос «port:"9200" all:"elastic indices"»:

Поисковый запрос с фильтром для Elasticsearch в Shodan

К сожалению, я не нашел способа, как в поисковой строке задать условие поиска по размеру базы (фильтр на параметры "totalSize" или "sizeOnDisk").

Накладывать более сложные фильтры (ограничения по размеру базы, дата попадания сервера в индекс и т.п.) на поисковую выдачу можно с помощью специализированных скриптов и программ. Для этого уже понадобится платный доступ и API-ключ, о чем я писал выше.

Вот небольшой список того, что может пригодится:

  • cli.shodan.io – официальная консоль Shodan.
  • shodan-manual.com – руководство по Shodan на русском языке.
  • github.com/woj-ciech/LeakLooker - программа на питоне для поиска открытых баз (MongoDB, CouchDB, Elasticsearch и др.).
  • lampyre.io – очень мощный графический интерфейс для поиска и визуализации найденного. Имеет встроенные шаблоны для поиска MongoDB и много чего еще. Находится в стадии бета-тестирования со всеми вытекающими…

Автор: Ашот Оганесян