Si las bases de datos Mongo aparecen en www.Shodan.io , ¿es una prueba definitiva de que son accesibles al público?
¿Existe alguna forma de probar que, sin duda, existe un riesgo sin conectarse realmente al servidor? (Este blog de Shodan enlace tiene información útil pero no conozco a MongoDB).
Si se enfrenta públicamente y no está autenticado, es tan fácil como utilizar un cliente administrativo de MongoDB , conectando los detalles del servidor, y conectando. Dependiendo de la respuesta del cliente probaría que es definitivo.
Esto es exactamente lo que Shodan está haciendo. Arañan el internet haciendo conexiones con todo. Y trate de volcar cualquier información que pueda obtener en su base de datos. Durante este proceso, intentan conectarse al servidor como cliente MongoDB y, si su cliente responde correctamente, recopilan datos como DBs, tamaño, volcado de información del servidor, etc.
Tenga en cuenta que en el caso de MongoDB, la falta de autorización en el shell es por diseño. Es posible conectar sin autenticar a cualquier shell de MongoDB. Sin embargo, está limitado a solo ver el número de versión de mongo y si el nodo al que está conectado es primario o secundario. A menos que se autentique como una cuenta de usuario con privilegios para una base de datos determinada, no podrá realizar consultas ni realizar ninguna operación. El acceso a un shell mongo no es evidencia suficiente de que la base de datos esté "mal configurada".
Por supuesto, uno puede argumentar si se trata de un defecto de diseño de MongoDB, y ciertamente puede argumentar que todas las instancias de Mongo deberían incluir en la lista blanca las direcciones IP que se conectan a ellas, independientemente del nivel de autenticación necesario para realizar operaciones en una instancia determinada.