[关闭]
@liuhui0803 2017-01-07T14:20:29.000000Z 字数 1876 阅读 1946

MongoDB勒索软件已波及上万数据库

数据库 MongoDB 勒索软件


摘要:

由于配置上的疏漏,上万个MongoDB数据库正在遭遇勒索,攻击者将数据加密并向受害者索取赎金。MongoDB提供了安全检查清单和操作建议。而此次事件引发的反思更值得我们关注。

正文:

无须身份验证的开放式MongoDB数据库实例正在遭受多个黑客组织的攻击,被攻破的数据库内容会被加密,受害者必须支付赎金才能找回自己的数据。

攻击者利用配置存在疏漏的开源MongoDB数据库展开了一系列勒索行为。此番针对MongoDB的勒索行为最早是由GDI Foundation的安全研究人员Victor Gevers在2016年12月27日发现的,在这之后影响陆续扩大,目前至少有五个不同黑客组织控制了上万个数据库实例。

截至目前,最后一个加入此次MongoDB勒索行动的黑客组织是由安全研究人员Nial Merrigan在1月6日发现的。目前,MongoDB攻击者的身份信息只有用于支付赎金的电子邮件地址,最新加入的黑客组织所用的邮件地址为3lix1r@mail2tor.com,该地址已攻陷至少17个MongoDB实例,要求受害者支付0.25个比特币才能找回数据。

目前在Google Docs上有一个列表,其中列出了参与此次攻击的黑客组织名单,具体数量还在增加中。攻击者所要求支付的金额各异,最低仅0.15个比特币,但也有高达1个比特币的赎金。2017年至今,比特币的价值上下波动,截止1月6日,具体金额约等于892美元。

此次针对MongoDB的攻击非常简单,利用了配置有误且可公开访问的数据库,无须具备相应的管理员凭据即可展开攻击。一旦攻击者登录到开放的数据库,随后会全面夺取控制权并窃取或加密数据库,被勒索的受害者必须支付赎金才能找回自己的数据。

很多MongoDB数据库处于开放状态,这种情况早已存在。2015年12月,安全研究人员Chris Vickery就曾使用Shodan搜索工具找到了很多端口开放的MongoDB服务器。当时Vickery甚至找到了一个被Mac OS X工具软件MacKeeper的开发者Kromtech使用的,配置存在疏漏的MongoDB数据库。

Shodan的创始人John Matherly跟进了Vickery的研究结果,并在2015年12月,当时互联网上共有至少35,000个可公开访问,无须身份验证的MongoDB实例,一年过去了,直到2017年1月,开放式MongoDB数据库的数量不降反增,估计目前共有多达99,000个数据库处于风险中。

作为应对此次MongoDB安全隐患的有效措施,数据库管理员需要参考MongoDB网站上提供的安全清单进行排查。首先需要“启用访问控制并强制进行身份验证”。

安全研究人员对eWEEK表示,MongoDB被攻击者进行勒索完全在意料之中。

“考虑到MongoDB的流行度以及在生产环境中的普及率,以开源的数据库作为目标并不会让人惊讶。”Dome9共同创始人兼首席执行官Zohar Alon向eWEEK说到:“通常来说,数据库部署过程中的配置疏漏和疏忽就会导致可被攻击者利用的弱点。”

Alon还补充说,用户的人为错误与不够强的安全意识也会威胁到云环境中运行的工作负载。他建议在使用开源数据库等第三方软件之前,用户应该自学相关知识,掌握最佳实践和已知弱点等内容。

“有趣的是,大部分人认为数据库是足够安全的,因为可以受到防火墙和数据中心的保护,”Jean-François Dubé首席技术官RiskVision告诉eWEEK:“问题在于攻击者依然可以通过消费者所用的端点和第三方连接访问这些服务器并获取信息。”

Dubé建议总的来说,应当定期对数据库进行风险评估。

“使用风险评估工具对数据库进行近乎实时监视的企业,会在加密后的数据离开数据库时更清楚地发现这一切,”他说。

Mimecast公司网络安全战略师Matthew Gardiner评论说,此次MongoDB被攻击完全没有让他感到意外。

“一处开放的,无须身份验证的,存有宝贵数据的系统,或其他任何重要的系统,被互联网将规模放大上千倍后,最大的问题在于:攻击者为什么等到现在才开始下手?”Gardiner说。

Sean Michael Kerner是eWEEK和InternetNews.com的资深编辑,你可以在Twitter关注他:@TechJournalist。

作者Sean Michael Kerner阅读英文原文MongoDB Ransomware Impacts Over 10,000 Databases

添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注