CERT-Bund предупредила интернет-провайдеров и операторов связи о небезопасности оставления заводских настроек web-серверов Sphinx

Команда реагирования на компьютерные инциденты CERT-Bund предупредила интернет-провайдеров и операторов связи о небезопасности оставления web-серверов Sphinx с заводскими настройками.

Система полнотекстового поиска Sphinx позволяет легко и быстро находить данные в целых базах данных или в простых файлах. Решение является кроссплатформенным и доступно для Linux, Windows, macOS, Solaris, FreeBSD и других ОС.

Как отметили специалисты CERT-Bund, по умолчанию в Sphinx отсутствует механизм аутентификации, из-за чего получить доступ к серверу, просматривать, редактировать и удалять данные в БД может любой желающий.

По умолчанию сервер слушает порты 9306/TCP и 9312/TCP на всех сетевых интерфейсах. Администраторы могут проверить доступность своих серверов через интернет с помощью стандартных инструментов в Linux/Unix.

Специалисты рекомендуют отключить серверы Sphinx от интернета и блокировать все входящие подключения. Если web-сервер и Sphinx находятся на одном компьютере, администраторы могут настроить Sphinx таким образом, чтобы он слушал только локальные интерфейсы.