导语:近日,据外媒报道称,安全研究人员Dylan Katz和Victor Gevers证实,全球最流行Nosql数据库之一的MongoDB数据库再次遭到黑客勒索攻击,超过26,000台服务器被感染。
近日,据外媒报道称,安全研究人员Dylan Katz和Victor Gevers证实,全球最流行Nosql数据库之一的MongoDB数据库再次遭到黑客勒索攻击,超过26,000台服务器被感染。
根据安全研究人员Dylan Katz和Victor Gevers的说法,上周末,三个新的黑客团体劫持了超过26,000台MongoDB服务器,其中规模最大的一组劫持了超过22,000台MongoDB服务器。
【发起此次勒索攻击的3个新黑客团体】
这些黑客组织利用MongoDB数据库未授权访问漏洞,劫持服务器后批量对存在漏洞的数据库进行“删库”操作并留下联系方式以勒索用户支付赎金。
两名安全人员认为,此次勒索攻击是“MongoDB启示录”事件的延续。称为“MongoDB启示录”的勒索事件开始于2016年12月底,并在2017年1月达到顶峰。
“MongoDB启示录”事件回顾
被称为“MongoDB启示录”的勒索攻击事件最早由白帽子[email protected] Foundation(网名0xDUDE)在2016年12月27日发现。当时,他发现有些在公网上暴露的MongoDB被黑掉,数据库中的数据都被删掉,并且黑客创建了一个WARING数据库(其中包含一张WARING表),其中的文档要求用户发送0.2个比特币到某个地址,然后再通过Email将IP地址发给黑客,黑客再进行相应的数据恢复工作。
在接下来的时间中,陆续有更多的MongoDB数据库被黑事件曝光。该事件最早是由Harak1r1黑客组织发起的,后续有多达20+黑客组织跟进,他们勒索的赎金从0.1到1比特币不等,短短数天时间已有约3万多MongoDB中招;据不完全统计,3天之内被删除的MongoDB数据量超过100TB。而分析Harak1r1组织使用的比特币钱包发现,至少有22名受害者已经支付了赎金。
新一波MongoDB勒索攻击
安全研究人员借助Google Docs电子表格跟踪了这些攻击。总的来说,攻击者破坏了超过45,000个数据库。此外,研究人员还发现,这些黑客不仅针对MongoDB实施攻击,其他数据库管理系统(DBMS)也未能幸免于难,包括ElasticSearch、Hadoop、CouchDB、Cassandra以及MySQL等也受到了此次攻击影响。
Gevers表示,这一次,新出现的黑客组织对MongoDB数据库发起了新一轮的攻击。与“MongoDB启示录”事件相比,此次攻击者的数量有所下降,但每次攻击的破坏性(受害者)数量上升。所以可以说,虽然攻击者数量是减少了,但是影响却更大了。
总结和反思
轻视安全问题是要付出代价的。事实上MongoDB数据库泄漏问题早在2015年就被报导过。当时Shodan(搜索引擎)的负责人John Matherly统计到有30,000个以上的MongoDB数据库实例,近600TB的数据暴露于公网之上,无需任何认证就可访问。
很多版本滞后的数据库配置文件里没有做IP捆绑(bind_ip 127.0.0.1),在用户不甚了解的时候留下了安全隐患。虽然MongoDB的开发团队在下一个版本里修复了这个问题,但截止事发,仍然有数量众多的数据库管理者没来得及更新。
一次又一次的勒索事件带来了一个显著的后果——那就是世界范围内存储在MongoDB数据库里数据量的大幅下滑。毫无疑问,黑客们的疯狂给人们敲响了警钟,好好审视自己,你还在轻视安全吗?你的数据库配置得当了吗?
针对上述情况,国家网络与信息安全信息通报中心建议采取以下防范措施:
一是修改数据库默认端口或将数据库部署在内网环境中,将MongoDB数据库默认端口(TCP 27017)修改为其他端口; 二是开启MongoDB数据库访问授权; 三是使用SSL加密功能; 四是使用“--blind_ip”选项,限制监听接口IP; 五是开启数据库日志审计功能,记录所有数据库操作; 六是及时做好重要数据备份工作。