Számtalan MongoDB adatbázis elérhetőségét nem korlátozzák tulajdonosaik a nyílt internet irányából, és ezt a figyelmetlenséget keményen megbüntethetik a hackerek.
Az utóbbi pár hétben több 10.000 hibásan beállított adatbázist kompromittáltak. A támadók valószínűleg a jelszóval nem védett fiókok esetében, vagy az alapértelmezett felhasználónév és jelszó használatával törlik az ott található adatbázisokat, azonban ilyen esetekben könnyedén alkalmazható brute force támadás is. A kompromittált szervereken ‘WARNING’, ‘PWNED’, vagy ‘PLEASE_READ’ nevű adatbázisokban, szöveges üzenetben tájékoztatják a tulajdonosokat arról, hogy az adatbázisok visszaállításához mit kell tenniük.
A zsarolók általában 0,2 és 1 Bitcoin közötti összeget kérnek az adatbázisok biztonsági másolatának megküldéséhez, azonban semmilyen garancia nincs arra vonatkozóan, hogy a támadók rendelkeznek ilyen másolattal. Egy friss kutatás szerint közel 100.000 adatbázis továbbra is nyitva áll a betolakodók előtt, a sérülékeny adatbázisok felkutatása különböző keresők segítségével másodpercek alatt megtörténhet.
A MongoDB a legnépszerűbb NoSQL adatbázis a világon, általában nagy mennyiségű adatok tárolására és elemzésére használják, azonban ezen kívül több adatbázis (pl. Redis, Elasticsearch) kitettsége is nagy az ehhez hasonló támadásokkal szemben.
A Nemzeti Kibervédelmi Intézet a hasonló támadások elkerülése érdekében az alábbiakat javasolja:
- Az adatbázisok által használt portok (a MongoDB esetében alapértelmezetten 27017) – amennyiben használatuk nem szükséges – kerüljenek tiltásra a nyílt internet irányából;
- a jelszó nélküli felhasználók, valamint az alapértelmezett felhasználónév jelszó párosok mellőzése;
- az alapértelmezett felhasználó részére a lehető legalacsonyabb jogosultsági szint kerüljön beállításra, különös figyelemmel a törlési jog megvonására;
- az adatbázisról, az azt futtató szerverről naprakész biztonsági másolat készítése.
Forrás: