攻擊者已經(jīng)發(fā)現(xiàn)很多MongoDB配置存在缺陷，而這為勒索攻擊打開了大門。

安全研究人員兼微軟開發(fā)人員Niall Merrigan一直在追蹤MongoDB勒索攻擊事件，有一天，他突然看到攻擊次數(shù)從12000增加到27633。與勒索軟件攻擊不同，其中數(shù)據(jù)被加密，在這種攻擊中，攻擊者可訪問數(shù)據(jù)庫、復(fù)制文件、刪除所有內(nèi)容并留下勒索字條——承諾在收到贖金后歸還數(shù)據(jù)。

“這里的問題在于，人們通常會快速設(shè)置好數(shù)據(jù)庫，并開始構(gòu)建應(yīng)用，而沒有適當(dāng)?shù)陌踩紤]，”Merrigan稱，“在很多情況下，他們并不知道他們必須設(shè)置身份驗證，而在默認情況下并沒有啟用。”

獨立安全研究人員Victor Gevers稱，MongoDB配置中糟糕的身份驗證政策是允許攻擊者訪問數(shù)據(jù)庫的主要缺陷。

“這些錯誤配置允許(任何人)持有完全的管理權(quán)限來訪問數(shù)據(jù)庫，而無需身份驗證，”Gevers稱，“因此，這是數(shù)據(jù)庫所有者的責(zé)任，他們沒有為面向互聯(lián)網(wǎng)的系統(tǒng)正確配置數(shù)據(jù)，當(dāng)你啟動漏洞掃描器時就能發(fā)現(xiàn)這些漏洞，這并不是多么困難的事情。”

Fidelis Cybersecurity公司威脅系統(tǒng)經(jīng)理John Bambenek稱：“主要的問題是，人們在配置面向互聯(lián)網(wǎng)的服務(wù)時，并沒有真正試圖保護和維護它們。”

“在很多時候，企業(yè)開發(fā)工作的重點是快速完成，而不是確保事物在沒有身份驗證的情況下不被訪問，”Bambenek稱，“在這種情況下，很多這些MongoDB數(shù)據(jù)庫是通過安裝器來安裝，而沒有為管理員賬號設(shè)置密碼，這讓所有人都可以訪問數(shù)據(jù)庫。”

ERPScan公司高級業(yè)務(wù)應(yīng)用安全研究人員Vahagn Vardanyan表示，攻擊者在這些攻擊中并沒有使用任何零日漏洞。

“在默認情況下，MongoDB安裝后并不需要身份驗證就可連接，”Vardanyan表示，“數(shù)據(jù)庫管理員沒有對其進行安全地配置，讓攻擊者有機可乘。”

Gevers證實MongoDB中存在已知漏洞，不過尚沒有跡象表明所調(diào)查的攻擊中使用了任何漏洞。

“在這種情況下，所有攻擊者的攻擊做法幾乎相同。他們試圖通過MongoDB復(fù)制該數(shù)據(jù)庫，然后刪除數(shù)據(jù)庫，創(chuàng)建新的數(shù)據(jù)庫，并留下勒索信息，最后在他們退出之前清除日志，”Gevers稱，“由于日志保持不變，我們可以從攻擊發(fā)起的時候提取相同的攻擊模式和IP地址。并沒有其他證據(jù)表明攻擊者已經(jīng)通過創(chuàng)建管理員用戶部署了持續(xù)后門程序或者shell。”

根據(jù)Merrigan和Gevers表示，面臨安全風(fēng)險的MongoDB數(shù)量很難預(yù)計。通過Shodan.io，Merrigan稱大約有5200臺服務(wù)器可訪問互聯(lián)網(wǎng)而沒有啟用身份驗證。而Gevers通過搜索Shodan得出的數(shù)據(jù)約為4800臺，但根據(jù)ZoomEye的數(shù)據(jù)顯示，可能有高達99000個糟糕的MongoDB配置。

威脅情報平臺提供商Anomali公司首席威脅研究人員Aaron Shelmire稱，企業(yè)擁有糟糕的MongoDB配置太常見了。

“每兩年就會出現(xiàn)新的技術(shù)堆棧，該行業(yè)似乎花了很多時間來重新學(xué)習(xí)舊教訓(xùn)。但由于簡單的安全問題而導(dǎo)致這么多安全事故，這真的非常令人驚訝，”Shelmire稱，“對于企業(yè)來說，確保安全性的最佳方法是限制這些服務(wù)對公司VPN背后主機的訪問，定期備份這些數(shù)據(jù)存儲可減少受影響系統(tǒng)的影響。

” Merrigan稱備份可幫助恢復(fù)“業(yè)務(wù)連續(xù)性”，但建議為MongoDB配置設(shè)置更好的身份驗證政策。

“應(yīng)使用最低權(quán)限概念，不要嘗試鎖定它;查看MongoDB指南來強化系統(tǒng)，特別是面向互聯(lián)網(wǎng)的系統(tǒng)，當(dāng)連接到互聯(lián)網(wǎng)時，應(yīng)假設(shè)每個人都在試圖訪問你的系統(tǒng)。”