Több 10 000 MongoDB adatbázis veszélyben

Számtalan MongoDB adatbázis elérhetőségét nem korlátozzák tulajdonosaik a nyílt internet irányából, és ezt a figyelmetlenséget keményen megbüntethetik a hackerek.

Az utóbbi pár hétben több 10.000 hibásan beállított adatbázist kompromittáltak. A támadók valószínűleg a jelszóval nem védett fiókok esetében, vagy az alapértelmezett felhasználónév és jelszó használatával törlik az ott található adatbázisokat, azonban ilyen esetekben könnyedén alkalmazható brute force támadás is. A kompromittált szervereken 'WARNING', 'PWNED', vagy 'PLEASE_READ' nevű adatbázisokban, szöveges üzenetben tájékoztatják a tulajdonosokat arról, hogy az adatbázisok visszaállításához mit kell tenniük.

A zsarolók általában 0,2 és 1 Bitcoin közötti összeget kérnek az adatbázisok biztonsági másolatának megküldéséhez, azonban semmilyen garancia nincs arra vonatkozóan, hogy a támadók rendelkeznek ilyen másolattal. Egy friss kutatás szerint közel 100.000 adatbázis továbbra is nyitva áll a betolakodók előtt, a sérülékeny adatbázisok felkutatása különböző keresők segítségével másodpercek alatt megtörténhet.

A MongoDB a legnépszerűbb NoSQL adatbázis a világon, általában nagy mennyiségű adatok tárolására és elemzésére használják, azonban ezen kívül több adatbázis (pl. Redis, Elasticsearch) kitettsége is nagy az ehhez hasonló támadásokkal szemben.

A Nemzeti Kibervédelmi Intézet a hasonló támadások elkerülése érdekében az alábbiakat javasolja:

  • Az adatbázisok által használt portok (a MongoDB esetében alapértelmezetten 27017) - amennyiben használatuk nem szükséges - kerüljenek tiltásra a nyílt internet irányából;
  • a jelszó nélküli felhasználók, valamint az alapértelmezett felhasználónév jelszó párosok mellőzése;
  • az alapértelmezett felhasználó részére a lehető legalacsonyabb jogosultsági szint kerüljön beállításra, különös figyelemmel a törlési jog megvonására;
  • az adatbázisról, az azt futtató szerverről naprakész biztonsági másolat készítése.

Forrás:

Cikk
Szabad címkék