MongoDB tools - tool yang telah menghack 30.000 database

MongoDB Ransack, sejumlah besar orang telah mengubah konfigurasi default MongoDB yang tidak aman menjadi peluang tebusan. Mereka menghapus / mencuri database dan meminta pembayaran bitcoin untuk mengembalikan datanya.

Dengan beberapa aktor melakukan hal yang sama meskipun sulit untuk mengetahui siapa, dan tampaknya ada beberapa yang hanya menghapus basis data dan meminta pembayaran tanpa memiliki datanya.

"Database MongoDB sedang hancur dalam serangan ransomware yang melonjak yang telah melihat jumlah sistem yang dikompromikan lebih dari dua kali lipat menjadi 27.000 dalam sehari.

Penjahat mengakses, menyalin, dan menghapus data dari basis data yang tidak terekam atau tidak dikonfigurasi dengan baik.

Administrator sedang dibebankan uang tebusan untuk mendapatkan data yang dikembalikan. Serangan awal melihat tebusan 0,2 bitcoin (US $ 184) kepada penyerang harak1r1, dimana 22 korban tampaknya telah membayar, pada 16 Rabu ketika serangan pertama kali dilaporkan.

Namun, beberapa pembayaran dapat berupa transfer jinak yang dirancang untuk membuatnya tampak korban membayar.

Peneliti keamanan yang berbasis di Norwegia dan pengembang Microsoft Niall Merrigan mengatakan serangan itu telah melonjak dari 12.000 hari sebelumnya menjadi 27.633, selama sekitar 12 jam.

Merrigan dan rekan-rekannya kini telah mencatat sekitar 15 penyerang yang berbeda. Salah satu aktor yang menggunakan email menangani kraken0 telah berkompromi 15.482 contoh MongoDB, menuntut 1 bitcoin (US $ 921) untuk mengembalikan file. Sepertinya tidak ada yang membayar. Merrigan mengatakan dia sedang menyelidiki "OSINT dan menemukan IOC yang berbeda serta para aktor yang terlibat".

Ini bukan pertama kalinya kami membicarakan hal ini juga, ketika BeautifulPeople.com diretas, itu karena MongoDB dan itu adalah default yang bagus (mendengarkan di semua antarmuka, termasuk alamat IP Internet publik) dan tidak memaksa jenis otentikasi apa pun secara default.

Yah, Anda dapat mengatakan itu adalah masalah pengguna, fitur ada di sana - tetapi seberapa sulitnya untuk memiliki default yang aman? Versi yang lebih baru telah memperbaikinya, dari apa yang saya ketahui - tetapi tetap saja, kekacauan yang disebabkan oleh keputusan meragukan mereka cukup luas.

"Semua diberitahu, instalasi 99.000 MongoDB kekalahan terkena, Gevers kata.

Keamanan MongoDB adalah masalah yang diketahui: hingga saat ini, konfigurasi default perangkat lunak tidak aman. Pendiri Shodan John Matherly memperingatkan pada tahun 2015 bahwa sekitar 30.000 orang MongoDB yang terpajan terbuka ke internet tanpa kontrol akses.

Di Antipodes, Otoritas Komunikasi dan Media Australia telah melaporkan pemasangan MongoDB yang terpapar sejak Juli 2015 menggunakan intelijen yang disediakan oleh lembaga nonprofit ShadowServer.

Bruce Matthews, manajer badan keamanan cyber dan bagian penegakan komunikasi yang tidak diminta, mengatakan kepada Vulture South bahwa ia memiliki wawasan tentang rentang IP yang mencakup 90 persen Australia.

Dia mengatakan jumlah database MongoDB yang terpapar di Australia tampaknya tetap stabil.

"Kami melaporkan layanan terbuka dan rentan kepada AISI yang dapat menyampaikan informasi kepada operator layanan," kata Matthews. "Adalah penting bahwa informasi diteruskan."

Tidak terlalu sulit untuk memperbaikinya, dengan asumsi itu dipasang di server yang sama dengan host web (jika tidak mengapa DB memiliki IP Publik?), Cukup ikat ke localhost dan aktifkan otentikasi untuk semua basis data.

Masalahnya sekarang adalah semua alat ʻincile 'ini, DevOps menerapkan gist pada Github dan pembuatan server otomatis berarti pengembang tanpa petunjuk tentang keamanan menggulung server basis data dan hanya menggunakannya. Saya menyalahkan tumpukan MEAN

Share this post