La empresa suiza de seguridad BinaryEdge analizó cuatro populares tecnologías de rango enterprise; Redis, MongoDB, Memcache y ElasticSearch, constatando que todas presentan problemas de configuración que han ocasionado numerosas vulnerabilidades.
El estudio detectó que 35.330 instancias de Redis caché y archivos almacenados estaban totalmente disponibles online, sin requerir autenticación alguna para descargarlas. La situación es peor para la base de datos MongoDB, donde se detectaron 39.000 bases de datos expuestas. Para el caso de Memcache, el número de instancias accesibles es calificado de “asombroso” por BinaryEdge, con 118.000 instancias. Los servidores ejecutando ElasticSearch respondieron positivamente en 8.000 oportunidades a las peticiones de BinaryEdge de entrega de datos.
En total, la empresa detectó 1175 terabytes de datos (1,17 petabytes) fácilmente disponibles en Internet, sin ningún tipo de autenticación requerida.
BinaryEdge comenta que muchas organizaciones ejecutan versiones antiguas de distinto software, advirtiendo que esto abre incluso la posibilidad de que servidores completos estén expuestos a intrusiones. “Las empresas aún están aprendiendo cómo utilizar estas tecnologías que, en su configuración estándar, no son seguras”, observa BinaryEdge.
La publicación The Register contactó a BinaryEdge, cuyo CEO Tiago Henriques dijo que el problema de exposición de datos se debe, en la mayoría de los casos, a una mala configuración y no al software propiamente tal. Así, muchos problemas se deben al cortafuegos y otras tecnologías de seguridad configuradas de manera inadecuada. Se produce entonces un despropósito, ya que la configuración deficiente de tecnologías de seguridad resulta en el surgimiento de vulnerabilidades.
Henriques explicó a The Register que en ningún caso su equipo leyó los datos expuestos, limitándose a realizar un análisis de las bases de datos considerando denominadores estándar para contenidos. A partir de ese criterio, el análisis reveló que en la mayoría de los casos los datos expuestos tienen importancia crítica para la organización. Como ejemplo dijo: “vimos bases de datos de empresas farmacéuticas y de hospitales, con nombres como ‘lista de pacientes’ y ‘lista de médicos’. También vimos bancos, con bases de datos denominadas ‘dinero'”.