Cerca de dos semanas atrás, más de 40.000 organizaciones que usan MongoDB se encontraron desprotegidos y vulnerables a los atacantes informaticos. Ahora, una vez más, los usuarios de la base de datos MongoDB están en riesgo debido a una vulnerabilidad crítica de tipo Zero Day.

MongoDB, una de las principales bases de datos NoSQL, la cual es de código abierto y utilizada por empresas de todos los tamaños, en todas las industrias para una amplia variedad de aplicaciones. Al aprovechar la computación in-memory, MongoDB proporciona un alto rendimiento tanto para la lectura y escritura de datos.

Vulnerabilidad ‘PhPMoAdmin’ En GUI De MongoDB

Un Hacker conocido por el nick «sp1nlock» ha encontrado una vulnerabilidad de día cero en ‘phpMoAdmin‘, una herramienta de administración basada en AJAX, PHP, la cual permite gestionar fácilmente la base de datos NoSQL en MongoDB.

De acuerdo con varios artículos disponibles en los foros subterráneos, la vulnerabilidad de phpMoAdmin se basa en una ejecucion remota, y esta permite a un usuario no autorizado secuestrar los sitios web que usan la herramienta phpMoAdmin.

Vulnerabilidad Disponible Y Fácil De Usar

A la fecha (redaccion del articulo) no es preciso saber si los desarrolladores de phpMoAdmin son conscientes de la vulnerabilidad o no, pero este descubrimiento es ya a la venta en foros clandestinos, y ya ha sido verificada por los administradores del mercado y dicen que… ¡Funciona!

¿Cómo Proteger Una Base De Datos En Mongo?

Con el fin de protegerse la información, se recomienda a los usuarios de la base de datos MongoDB evitar el uso de phpMoAdmin hasta que el equipo de desarrollo lance parches para el código de la vulnerabilidad.

Como una alternativa a la vulnerabilidad en phpMoAdmin, puede hacer uso de otras herramientas GUI gratuitas para MongoDB disponibles, a continuación te compartimos algunas:

RockMongo – una herramienta potente GUI MongoDB.
MongoVUE – una herramienta de escritorio GUI para MongoDB.
Mongo-Express – una herramienta GUI MongoDB bien equipada.
UMongo – una herramienta decente de GUI para MongoDB
Genghis – una herramienta GUI ligero MongoDB

Sin embargo, si no deseas reemplazar el archivo phpMoAdmin, entonces el enfoque más simple sería restringir el acceso no autorizado mediante una contraseña htaccess es decir, la creación con «.htpasswd» para la carpeta que contiene el archivo «moadmin.php«.