Intrusión en la red del fabricante de MongoDB

MongoHQ, la firma que da soporte profesional y alojamiento a usuarios
de la base de datos MongoDB, ha informado en un comunicado que han
detectado una intrusión en sus servidores. Según la compañía los
atacantes podrían haber accedido a la base de datos de cuentas de
usuarios.

MongoDB es una base de datos NoSQL, programada en C++ y licenciada
bajo GNU AGPL. MongoDB fue publicada por primera vez en 2009, su uso
se encuentra bastante extendido en la industria.

El pasado día 28 de octubre, los técnicos del equipo de operaciones de
MongoHQ detectaron un acceso no autorizado a una aplicación interna
orientada al soporte. Los atacantes habían usado unas credenciales
provenientes de una cuenta comprometida. La aplicación interna permite
acceder a información de cuentas, lista de bases de datos, direcciones
de correo electrónico y las credenciales de los clientes en forma de
hash utilizando el algoritmo bcrypt.

El problema es que dicha aplicación de soporte permite a cualquier
técnico autenticado acceder al portal principal de los clientes con los
mismos privilegios que estos para realizar tareas de soporte. En ese
portal el cliente puede consultar sus datos almacenados y administrar
sus instancias privadas de MongoDB.

Los responsables dan por hecho que los atacantes han tenido acceso a los
datos de conexión de los clientes y a través de la auditoría que están
llevando a cabo han detectado accesos a los datos almacenados utilizando
las credenciales que guardaban. Es decir, que ciertas bases de datos de
sus clientes han sido volcadas (se desconoce si parcial o totalmente)
por los intrusos.

La respuesta de MongoHQ fue detener los servicios implicados y proceder
a efectuar un análisis forense y auditoría. Se han desactivado las
cuentas de los técnicos y rehabilitado tras cambiar sus credenciales.
También se han puesto en contacto con los clientes afectados
directamente, al menos sobre los que tienen evidencia de que sus datos
han sido accedidos.

Sobre las medidas que van a imponer a partir de ahora, anuncian la
imposición de un sistema de doble autenticación, acceso exclusivo a
través de VPN y la dotación de permisos graduales basados en el mínimo
privilegio necesario. Además planean cifrar el contenido importante que
administren las aplicaciones.

Resulta evidente que este anuncio de medidas es equivalente a decir que
carecían de ellas. No es fácilmente digerible que una arquitectura que
almacena datos, supongamos muy valiosos, de terceros no tuviera ya una
rigidez y fiabilidad desde el punto de vista de la seguridad. Sorprende
sobre todo el último punto, que no tuvieran establecido un sistema de
credenciales basados en el mínimo privilegio, algo básico.

Otro de los puntos reseñables en el comunicado es la invalidación de
credenciales de Amazon Web Services que sus clientes tenían almacenadas
en MongoHQ. Dichas cuentas eran usadas para realizar copias de respaldo
en la infraestructura S3 de Amazon.

Por supuesto, como primera medida a tomar, aconsejan cambiar las
credenciales de acceso a los servicios.

MongoHQ irá comunicando, a medida que aparezcan nuevos hallazgos,
información sobre el incidente.
 Fuente