HWSW

Tömegesen ejtik foglyul a nyitott MongoDB adatbázisokat

Nyitva felejtett MongoDB adatbázisok lettek az online bűnözők új aranybányái, már a 20 ezret is meghaladja a támadássorozatban célba vett szervezetek száma. Az elvesztett fájlok visszaszerzését a váltságdíj kifizetése sem garantálja.

Több tízezer rosszul felkonfigurált MongoDB adatbázis esett áldozatul a legújabb ransomware-rohamnak, sőt a szerencsétlenebbek még az utóhullámoknak is - a tömeges online túszszedésről a Krebs on Security számolt be. [1] A MongoDB-t rengetegen használják, annak hátránya ugyanakkor, hogy félrekonfigurálva vagy csak a szerveren alapértelmezett beállításokon felejtve lényegében bárkinek korlátlan hozzáférést enged a tárolt adatokhoz, beleértve az írási és olvasási jogokat is. Noha ismert gyengeségről van szó, mégis rendre szivárognak ki potenciálisan érzékeny adatok különböző vállalatoktól, a hibás beállítások miatt.

A problémára most a ransomware-fejlesztők is felkapták a fejüket, és mind többen igyekeznek "monetizálni" azt. A "piacon" pedig sokaknak jut hely, a Krebs on Security elemzései szerint ugyanis jelenleg több mint 52 ezer nyilvánosan elérhető MongoDB adatbázis működik világszerte, legnagyobb részük az Egyesült Államokban. Ezekre csaptak le most a ransomware-gazdák, akik a nyilvánosan elérhető adatokat titkosítják, majd szokásukhoz híven bitcoinban kérnek váltságdíjat az információk visszaszolgáltatásáért cserébe.

Nyílt MongoDB adatbázisok világszerte

xA követelt összeg kicsengetése sem garantálja azonban, hogy az áldozat visszakapja az adatait: az MongoDB felhasználók tortúráját Niall Merrigan és Victor Gevers biztonsági szakértők is nyomon követik, és eddigi tapasztalataik szerint alig néhányan nyertek ismét hozzáférést a titkosított információkhoz a fizetést követően. A kutatók egy nyilvánosan megtekinthető Google dokumentumot [2]is létrehoztak, amelyben nyilvántartják a támadásoknak áldozatul esett szervezeteket, illetve azt is, azok fizettek-e és ha igen visszakapták-e adataikat.

A szakértők jelenleg senkinek nem javasolják a váltságdíj kifizetését, miután az nem jelent garanciát a probléma elhárítására és csak támogatja az "üzleti modellt". Ha valaki mégis a fizetés mellett dönt, érdemes előtte valamilyen bizonyítékot, például egy-két feloldott fájlt kérni a zsarolótól, hogy megmutassa, valóban képes visszaállítani azokat. Emellett a támadókkal való alkudozás is sikeres lehet, ahogy az korábban Mikko Hypponen tapasztalataiból is kiderült. [3]

A támadók lényegében mind ugyanazt a módszert használják: egy megfelelő keresőmotor, például Shodan [4]használatával felkutatják a nyitott MongoDB adatbázisokat és módszeresen el is kezdik azok titkosítását. A kutatók szerint eddig legalább 20 ezer adatbázist titkosítottak, ezek száma pedig folyamatosan nő. Akik tehát MongoDB-t használnak akár személyes, akár üzleti környezetben, ha eddig nem tették meg haladéktalanul váltsanak az alapértelmezett beállításokról és korlátozzák a hozzáférést az adatbázishoz.

A cikkben hivatkozott linkek:
[1] https://krebsonsecurity.com/2017/01/extortionists-wipe-thousands-of-databases-victims-who-pay-up-get-stiffed/
[2] https://docs.google.com/spreadsheets/d/1QonE9oeMOQHVh8heFIyeqrjfKEViL0poLnY8mAakKhM/edit#gid=2122582863
[3] https://www.hwsw.hu/hirek/56619/mikko-hypponen-online-biztonsag-ransomware.html
[4] https://www.shodan.io/
A cikk adatai:
//www.hwsw.hu/hirek/56315/ransomware-mongodb-online-tamadas-biztonsag.html
Író: Hlács Ferenc (feradyr@gmail.com)
Dátum: 2017. január 11. 17:00
Rovat: vállalati it