Cơ sở dữ liệu MongoDB bị tấn công đòi tiền chuột do cấu hình sai

Gần hai năm trở lại, chúng tôi đã cảnh báo người dùng về các trường hợp truy cập cơ sở dữ liệu MongoDB – gần 600 Terabyte (TB) – qua Internet mà không cần xác thực khiến cho các website và máy chủ đứng trước nguy cơ của cuộc tấn công.

Cơ sở dữ liệu MongoDB bị tấn công đòi tiền chuột do cấu hình sai

Những trường hợp MongoDB không được tiếp xúc do bất kỳ lỗ hổng trong phần mềm của mình, nhưng do cấu hình sai (thực hành bảo mật xấu) cho phép bất kỳ kẻ tấn công truy cập từ xa cơ sở dữ liệu MongoDB mà không sử dụng bất kỳ công cụ hacking đặc biệt nào.

MongoDB sau đó giải quyết vấn đề trong các phiên bản tiếp theo của phần mềm của nó bằng cách thiết lập mặt định hạn chế quyền truy cập từ xa và hiện nay hàng ngàn nhà quản trị trang web đã chưa cập nhật các máy chủ của họ.

Một Hacker đang chiếm quyền điều khiển và xoá sạch cơ sở dữ liệu MongoDB (không thể phục hồi) và giữ một bản sao để yêu cầu quản trị một khoản tiền chuộc 0,2 Bitcoins (gần $211) để trả lại dữ liệu bị mất. Vì vậy, các quản trị viên mà họ không sao lưu một bản từ bên ngoài buộc phải trả tiền chuột.

Trong thực tế, sự tăng giá của Bitcoin thậm chí gợi ý một số khó khăn của nó: 1 Bitcoin = USD1063.93. Nhà nghiên cứu bảo mật và đồng sáng lập của GDI Foundation Victor Gevers(@ 0xDUDE) đã phát hiện các cuộc tấn công và thông báo cho chủ sở hữu thông qua Twitter.

Gevers xác định gần 200 trường hợp hiện việc cài đặt MongoDB đó là được xoá hoàn toàn và giữ để đòi tiền chuộc, trong khi con số này đạt khoảng 2.000 cơ sở dữ liệu vào khoản 04:00, theo báo cáo của John Matherly, người sáng lập của Shodan là nơi có nhiều cơ sở dữ liệu MongoDB được tìm thấy.

Dấu hiệu bị tấn công

  • Kiểm tra danh sách tài khoản MongoDB xem liệu có một tài khoản mới bí mật được thêm vào hay không.
  • Kiểm tra GridFS xem có ai đó lưu trữ bất kì dữ liệu nào vào đây hay không.
  • Kiểm tra log file để biết được những ai đã truy cập vào MongoDB.

Biện pháp bảo vệ

  • Bật xác thực . Thay đổi file cấu hình MongoDB — auth = true.
  • Sử dụng tường lửa – Vô hiệu hóa truy cập từ xa vào MongoDB (chặn cổng 27017).
  • Cấu hình Bind_ip — Giới hạn truy cập vào máy chủ bằng cách chỉ cho phép địa chỉ IP cục bộ.
  • Nâng cấp — Quản trị viên được khuyến cáo nâng cấp lên phiên bản mongoDB mới nhất.

MongoDB là một hệ quản trị NoSQL mã nguồn mở được sử dụng rất nhiều tổ chức trên thế giới như eBay,  Sourceforge,The New York Times và LinkedIn. Quản trị viên nên theo dõi hướng dẫn an toàn do MongoDB cung cấp tại đây.

thehackernews