MongoDB セキュリティ通知

 (mongodb.com)
2 ポイント 投稿者 GN⁺ 2023-12-18 | 1件のコメント | WhatsAppで共有

MongoDB セキュリティ通知

  • MongoDB ではログイン試行の増加により、Atlas およびサポートポータルへのログインで問題が発生しています。これはセキュリティインシデントとは無関係であり、ログインが難しい場合は数分後に再試行することが推奨されています。
  • MongoDB は、特定の企業システムへの不正アクセスを含むセキュリティインシデントを調査中です。これにより、顧客アカウントのメタデータと連絡先情報が露出しました。水曜日の夕方に不審な活動を検知し、直ちにインシデント対応手順を有効化しました。MongoDB Atlas に保存された顧客データの露出は現時点では確認されていませんが、顧客にはソーシャルエンジニアリングおよびフィッシング攻撃への警戒、フィッシング耐性のある多要素認証(MFA)の有効化、そして MongoDB Atlas のパスワードを定期的に変更することが推奨されています。

データ整合性関連

  • シャーディングされた時系列コレクションに対する挿入の問題により、挿入されたドキュメントが即座に孤立状態となってクエリで返されず、データ損失が発生する可能性があります。
  • mongosync 1.5 で発生する競合状態により、ソースの一部の書き込み操作がターゲットに複製されない可能性があります。1.6 以上へのアップグレードが推奨されます。
  • ストレージエンジンの問題により、Ops Manager および Cloud Manager の増分バックアップに不整合が生じる可能性があり、影響を受けた増分バックアップから復元されたクラスターはチェックサムエラーによってクラッシュする可能性があります。

運用関連

  • dbhash 結果のキャッシュにより、シャーディングされたクラスターの構成サーバー間で不一致が発生する可能性があります。

セキュリティ関連

  • Atlas Operator のデバッグモードで機密情報が記録される可能性があります。
  • 一部の MongoDB ドライバーが、アプリケーションによって構成されたコマンドリスナーに、認証関連データを含むイベントを公開する可能性があります。
  • Windows または macOS 上で動作する MongoDB サーバーが TLS を使用するよう構成されている場合、証明書検証の問題が発生する可能性があります。

GN⁺の意見:

  • この記事で最も重要なのは、MongoDB が最近発生したセキュリティインシデントについて積極的に調査しており、顧客に対してセキュリティ対策を講じるよう推奨している点です。
  • データ整合性に関する複数の問題が継続的に検出されているため、MongoDB ユーザーはこれらの問題を注意深く監視する必要があります。
  • セキュリティインシデントは企業と個人ユーザーの両方に深刻な影響を与える可能性があるため、この記事は MongoDB ユーザーにとって特に興味深く重要な情報を提供しています。

関連記事

1件のコメント

 
GN⁺ 2023-12-18
Hacker Newsの意見

  • Atlasアカウントとサポートポータルにまったくアクセスできない状況が発生。Okta経由のMongo認証の試行はすべて失敗し、ログイン画面には "The request contained invalid data." というメッセージが表示された。サポートポータルの利用にも認証が必要だが、認証失敗について支援を受けるのは難しい。他のユーザーにもダッシュボードへのアクセス問題があるのか気になる。認証はその後再び動作し始め、ダッシュボードにアクセスできるようになった。

  • この事例は、初期調査段階では情報が限られている可能性があることを明確にし、今後情報が提供されることを知らせている。このようなアプローチを肯定的に評価する。

  • Atlasの顧客が影響を受けていなかったとしても、Webサイトやサポートチャネルに関する大々的な発表の後では、当然懸念を抱くことになると強調している。SSPLライセンス変更のため制約はあるものの、独立したMongoDB DBaaSプロバイダーが真の冗長性を提供するはずだ。FerretDBが実行可能な代替手段の構築に成功することを願う。

  • MongoDB Atlasのパスワードを定期的に変更することが、現代のセキュリティチームの推奨事項なのか、その文脈が欠けているのではないかと疑問を呈している。

  • MongoDBからセキュリティインシデントに関するメールアラートを受け取った。MongoDBの一部の企業システムに対する不正アクセスがあり、顧客アカウントのメタデータと連絡先情報が露出した。MongoDB Atlasに保存された顧客データの露出は現時点では認識されていない。水曜日の夕方に不審な活動を検知し、直ちにインシデント対応手順を有効化した。不正アクセスは発見される前の一定期間にわたって行われていたとみられる。関係当局への通知を開始した。顧客にはソーシャルエンジニアリングやフィッシング攻撃に注意し、可能な場合はフィッシング耐性のある多要素認証(MFA)を有効にし、定期的にパスワードを変更するよう勧めている。MongoDBは調査の進展に応じて、mongodb.com/alerts で追加情報を継続的に更新する予定。

  • "データは安全だ。なぜなら、我々はデータをディスクに書き込んでいないからだ。" という冗談を言っている。

  • MongoDBを使ったことがない人が、なぜMongoDBを他のデータベースより好むのか気になっている。

  • 今でも人々がPostgresではなくMongoを選ぶ理由が何なのか、JSONデータに反対しているわけではない立場から、本気で知りたいと思っている。

  • MongoDBはうまくやっているのか、それに対する熱狂がやや落ち着いたように見えるのかについて疑問を投げかけている。