無(wú)須身份驗(yàn)證的開(kāi)放式MongoDB數(shù)據(jù)庫(kù)實(shí)例正在遭受多個(gè)黑客組織的攻擊,被攻破的數(shù)據(jù)庫(kù)內(nèi)容會(huì)被加密,受害者必須支付贖金才能找回自己的數(shù)據(jù)。
攻擊者利用配置存在疏漏的開(kāi)源MongoDB數(shù)據(jù)庫(kù)展開(kāi)了一系列勒索行為。此番針對(duì)MongoDB的勒索行為最早是由GDI Foundation的安全研究人員Victor Gevers在2016年12月27日發(fā)現(xiàn)的,在這之后影響陸續(xù)擴(kuò)大,目前至少有五個(gè)不同黑客組織控制了上萬(wàn)個(gè)數(shù)據(jù)庫(kù)實(shí)例。
截至目前,最后一個(gè)加入此次MongoDB勒索行動(dòng)的黑客組織是由安全研究人員Nial Merrigan在1月6日發(fā)現(xiàn)的。目前,MongoDB攻擊者的身份信息只有用于支付贖金的電子郵件地址,最新加入的黑客組織所用的郵件地址為3lix1r@mail2tor.com,該地址已攻陷至少17個(gè)MongoDB實(shí)例,要求受害者支付0.25個(gè)比特幣才能找回?cái)?shù)據(jù)。
目前在Google Docs上有一個(gè)列表,其中列出了參與此次攻擊的黑客組織名單,具體數(shù)量還在增加中。攻擊者所要求支付的金額各異,最低僅0.15個(gè)比特幣,但也有高達(dá)1個(gè)比特幣的贖金。2017年至今,比特幣的價(jià)值上下波動(dòng),截止1月6日,具體金額約等于892美元。
此次針對(duì)MongoDB的攻擊非常簡(jiǎn)單,利用了配置有誤且可公開(kāi)訪問(wèn)的數(shù)據(jù)庫(kù),無(wú)須具備相應(yīng)的管理員憑據(jù)即可展開(kāi)攻擊。一旦攻擊者登錄到開(kāi)放的數(shù)據(jù)庫(kù),隨后會(huì)全面奪取控制權(quán)并竊取或加密數(shù)據(jù)庫(kù),被勒索的受害者必須支付贖金才能找回自己的數(shù)據(jù)。
很多MongoDB數(shù)據(jù)庫(kù)處于開(kāi)放狀態(tài),這種情況早已存在。2015年12月,安全研究人員Chris Vickery就曾使用Shodan搜索工具找到了很多端口開(kāi)放的MongoDB服務(wù)器。當(dāng)時(shí)Vickery甚至找到了一個(gè)被Mac OS X工具軟件MacKeeper的開(kāi)發(fā)者Kromtech使用的,配置存在疏漏的MongoDB數(shù)據(jù)庫(kù)。
Shodan的創(chuàng)始人John Matherly跟進(jìn)了Vickery的研究結(jié)果,并在2015年12月稱,當(dāng)時(shí)互聯(lián)網(wǎng)上共有至少35,000個(gè)可公開(kāi)訪問(wèn),無(wú)須身份驗(yàn)證的MongoDB實(shí)例,一年過(guò)去了,直到2017年1月,開(kāi)放式MongoDB數(shù)據(jù)庫(kù)的數(shù)量不降反增,估計(jì)目前共有多達(dá)99,000個(gè)數(shù)據(jù)庫(kù)處于風(fēng)險(xiǎn)中。
作為應(yīng)對(duì)此次MongoDB安全隱患的有效措施,數(shù)據(jù)庫(kù)管理員需要參考MongoDB網(wǎng)站上提供的安全清單進(jìn)行排查。首先需要“啟用訪問(wèn)控制并強(qiáng)制進(jìn)行身份驗(yàn)證”。
安全研究人員對(duì)eWEEK表示,MongoDB被攻擊者進(jìn)行勒索完全在意料之中。
“考慮到MongoDB的流行度以及在生產(chǎn)環(huán)境中的普及率,以開(kāi)源的數(shù)據(jù)庫(kù)作為目標(biāo)并不會(huì)讓人驚訝。”Dome9共同創(chuàng)始人兼首席執(zhí)行官Zohar Alon向eWEEK說(shuō)到:“通常來(lái)說(shuō),數(shù)據(jù)庫(kù)部署過(guò)程中的配置疏漏和疏忽就會(huì)導(dǎo)致可被攻擊者利用的弱點(diǎn)。”
Alon還補(bǔ)充說(shuō),用戶的人為錯(cuò)誤與不夠強(qiáng)的安全意識(shí)也會(huì)威脅到云環(huán)境中運(yùn)行的工作負(fù)載。他建議在使用開(kāi)源數(shù)據(jù)庫(kù)等第三方軟件之前,用戶應(yīng)該自學(xué)相關(guān)知識(shí),掌握最佳實(shí)踐和已知弱點(diǎn)等內(nèi)容。
“有趣的是,大部分人認(rèn)為數(shù)據(jù)庫(kù)是足夠安全的,因?yàn)榭梢允艿椒阑饓蛿?shù)據(jù)中心的保護(hù),”Jean-Fran ois Dubé首席技術(shù)官RiskVision告訴eWEEK:“問(wèn)題在于攻擊者依然可以通過(guò)消費(fèi)者所用的端點(diǎn)和第三方連接訪問(wèn)這些服務(wù)器并獲取信息。”
Dubé建議總的來(lái)說(shuō),應(yīng)當(dāng)定期對(duì)數(shù)據(jù)庫(kù)進(jìn)行風(fēng)險(xiǎn)評(píng)估。
“使用風(fēng)險(xiǎn)評(píng)估工具對(duì)數(shù)據(jù)庫(kù)進(jìn)行近乎實(shí)時(shí)監(jiān)視的企業(yè),會(huì)在加密后的數(shù)據(jù)離開(kāi)數(shù)據(jù)庫(kù)時(shí)更清楚地發(fā)現(xiàn)這一切,”他說(shuō)。
Mimecast公司網(wǎng)絡(luò)安全戰(zhàn)略師Matthew Gardiner評(píng)論說(shuō),此次MongoDB被攻擊完全沒(méi)有讓他感到意外。
“一處開(kāi)放的,無(wú)須身份驗(yàn)證的,存有寶貴數(shù)據(jù)的系統(tǒng),或其他任何重要的系統(tǒng),被互聯(lián)網(wǎng)將規(guī)模放大上千倍后,最大的問(wèn)題在于:攻擊者為什么等到現(xiàn)在才開(kāi)始下手?”Gardiner說(shuō)。
Sean Michael Kerner是eWEEK和InternetNews.com的資深編輯,你可以在Twitter關(guān)注他:@TechJournalist。
查看英文原文:MongoDB Ransomware Impacts Over 10,000 Databases