В СМИ попала информация о масштабной волне кибератак, жертвами которых становятся администраторы систем, использующих MongoDB. Злоумышленники получают к ним доступ, а затем удаляют данные из уязвимых или неверно настроенных систем, после чего требуют выкуп.
Норвежский исследователь информационной безопасности и работник Microsoft Ниал Мерриган (Niall Merrigan) зафиксировал всплеск атак, целью которых были системы MongoDB — по его словам всего за двенадцать часов их число увеличилось с 12 000 до 27 633. Часто злоумышленники вымогают у администраторов взломанных систем деньги за возвращение данных — на начало волны кибератак сумма составляла 0,2 биткоина ($184). Есть информация о том, что некоторые жертвы действительно осуществляли выплаты взломщикам.
Мерриган и его коллеги сумели отследить активность 15 хакеров — один из них, под ником kraken0, взломал 15 482 экземпляров MongoDB и требовал от их администраторов по одному биткоину ($921) за возврат данных — однако, пока никто ему не платил.
Ниал Мерриган и его коллега Виктор Жеверс (Victor Gevers) помогли 112 жертвам повысить защищенность их уязвимых систем. При этом, по словам Жеверса, всего уязвимы 99 000 систем MongoDB.
Защищенность систем MongoDB — известная проблема. Еще в 2015 году основатель поисковика Shodan Джон Мэзерли (John Matherly) публиковал данные исследований, согласно которым более 30000 экземпляров MongoDB были доступны из интернета без контроля доступа.
Комментарии (23)
Dimd13
10.01.2017 06:44+7Вероятнее всего слово взломал/взломали в статье следует употреблять в кавычках, почти уверен что эти все базы имеют дефолтные настройки безопасности, т.е. без парольный доступ и сводит взлом к поиску открытого дефолтного порта и «настройки» этой самой безопасности атакующим.
profesor08
10.01.2017 07:38То есть, вот так просто можно получить доступ извне? Ужас. Скорее всего это вынужденная жертва.
Easy to learn hard to master
ArRnorets
10.01.2017 08:58Описание установки MongoDB для Red Hat/CentOS с вами согласно.
The default /etc/mongod.conf configuration file supplied by the 3.0 series packages has bind_ip set to 127.0.0.1 by default.
— до этого в дефолтной конфигурации действительно, как минимум, слушались все интерфейсы.
movl
10.01.2017 09:30+7Тоже подумал, что "взломщик" как-то так действовал:
for ip in $ips do mongo --host $ip script.js done
terrier
10.01.2017 11:02+2Народ не совсем осознает, чем конкретно в mongodb пожертвовали ради няшности, user-friendly — имиджа и доступности представителям интеллектуального большинства. В частности пожертвовали принципом «Secure by default», доступностью данных, serializability и т.д.
un1t
10.01.2017 11:32+7Глядишь, через годик эти «хакеры» узнают, что elasticsearch или там redis тоже по умолчанию открыты наружу без паролей.
inlanger
10.01.2017 16:29А что такого важного можно в redis хранить?
mayorovp
10.01.2017 16:33А что такого неважного там может оказаться?
inlanger
10.01.2017 16:43Ну например кеш шаблонов, какие-то счетчики которые пересчитывать при каждом обновлении страницы не очень хорошо и т.д. Не пароли же в редисе хранить, и не важный контент.
mayorovp
10.01.2017 16:59+2Модифицируем шаблоны в кеше — и внедряем на сайт произвольные скрипты или баннеры без модификации исходников. Как вам такой вариант?
un1t
10.01.2017 16:55Дело даже не в этом. В редисе были уявзимости позволяющие выполнять произвольный код.
https://redislabs.com/blog/cve-2015-4335-dsa-3279-redis-lua-sandbox-escape#.WHTnuPF96kA
А если мы говорим, о таких безолаберных «админах» которые даже порт закрыть не могут, то я сильно сомневаюсь, что они какие-то патчи накатывали.
У меня есть знакоммые, у которых через редис тестовый сервел ломанули.
DarthVictor
10.01.2017 14:45+7взломал 15 482 экземпляров MongoDB и требовал от их администраторов по одному биткоину ($921) за возврат данных — однако, пока никто ему не платил.
однако, пока никто ему не платил
Из 15 482 пострадавших 4 131 восстановили свою тестовую базу с прода, а 11 351 написали новый хелловорд, заменив NodeJS на Go.
BekoBou
M310: MongoDB Security — курс лекций начинается завтра (10 Jan 2017 at 17:00 UTC)
format1981
Жесткий пиар?
BekoBou
Почему? Курс от создателей MongoDB, на их площадке. Просто полезная ссылка в рамках статьи.
serkys
Вещаю с рубки: очевидно, намёк на пиар со стороны создателей курса путём массового взлома своей же MongoDB :)