攻擊者已經(jīng)發(fā)現(xiàn)很多MongoDB配置存在缺陷�����,而這為勒索攻擊打開了大門���。
讓客戶滿意是我們工作的目標(biāo)����,不斷超越客戶的期望值來自于我們對(duì)這個(gè)行業(yè)的熱愛�。我們立志把好的技術(shù)通過有效、簡(jiǎn)單的方式提供給客戶����,將通過不懈努力成為客戶在信息化領(lǐng)域值得信任�����、有價(jià)值的長(zhǎng)期合作伙伴���,公司提供的服務(wù)項(xiàng)目有:主機(jī)域名、虛擬主機(jī)�、營(yíng)銷軟件、網(wǎng)站建設(shè)�����、息烽網(wǎng)站維護(hù)����、網(wǎng)站推廣。
安全研究人員兼微軟開發(fā)人員Niall Merrigan一直在追蹤MongoDB勒索攻擊事件��,有一天��,他突然看到攻擊次數(shù)從12000增加到27633����。與勒索軟件攻擊不同,其中數(shù)據(jù)被加密����,在這種攻擊中,攻擊者可訪問數(shù)據(jù)庫(kù)�、復(fù)制文件、刪除所有內(nèi)容并留下勒索字條——承諾在收到贖金后歸還數(shù)據(jù)����。
“這里的問題在于,人們通常會(huì)快速設(shè)置好數(shù)據(jù)庫(kù)�����,并開始構(gòu)建應(yīng)用��,而沒有適當(dāng)?shù)陌踩紤]�,”Merrigan稱,“在很多情況下�����,他們并不知道他們必須設(shè)置身份驗(yàn)證�,而在默認(rèn)情況下并沒有啟用?���!?/p>
獨(dú)立安全研究人員Victor Gevers稱���,MongoDB配置中糟糕的身份驗(yàn)證政策是允許攻擊者訪問數(shù)據(jù)庫(kù)的主要缺陷。
“這些錯(cuò)誤配置允許(任何人)持有完全的管理權(quán)限來訪問數(shù)據(jù)庫(kù)���,而無需身份驗(yàn)證��,”Gevers稱�,“因此����,這是數(shù)據(jù)庫(kù)所有者的責(zé)任,他們沒有為面向互聯(lián)網(wǎng)的系統(tǒng)正確配置數(shù)據(jù)���,當(dāng)你啟動(dòng)漏洞掃描器時(shí)就能發(fā)現(xiàn)這些漏洞�,這并不是多么困難的事情��?!?/p>
Fidelis Cybersecurity公司威脅系統(tǒng)經(jīng)理John Bambenek稱:“主要的問題是,人們?cè)谂渲妹嫦蚧ヂ?lián)網(wǎng)的服務(wù)時(shí)���,并沒有真正試圖保護(hù)和維護(hù)它們���?���!?/p>
“在很多時(shí)候��,企業(yè)開發(fā)工作的重點(diǎn)是快速完成���,而不是確保事物在沒有身份驗(yàn)證的情況下不被訪問,”Bambenek稱����,“在這種情況下,很多這些MongoDB數(shù)據(jù)庫(kù)是通過安裝器來安裝�����,而沒有為管理員賬號(hào)設(shè)置密碼���,這讓所有人都可以訪問數(shù)據(jù)庫(kù)��?����!?/p>
ERPScan公司高級(jí)業(yè)務(wù)應(yīng)用安全研究人員Vahagn Vardanyan表示��,攻擊者在這些攻擊中并沒有使用任何零日漏洞�����。
“在默認(rèn)情況下�,MongoDB安裝后并不需要身份驗(yàn)證就可連接,”Vardanyan表示��,“數(shù)據(jù)庫(kù)管理員沒有對(duì)其進(jìn)行安全地配置�,讓攻擊者有機(jī)可乘?����!?/p>
Gevers證實(shí)MongoDB中存在已知漏洞�����,不過尚沒有跡象表明所調(diào)查的攻擊中使用了任何漏洞���。
“在這種情況下��,所有攻擊者的攻擊做法幾乎相同�����。他們?cè)噲D通過MongoDB復(fù)制該數(shù)據(jù)庫(kù)���,然后刪除數(shù)據(jù)庫(kù)����,創(chuàng)建新的數(shù)據(jù)庫(kù)�����,并留下勒索信息�,最后在他們退出之前清除日志�,”Gevers稱,“由于日志保持不變���,我們可以從攻擊發(fā)起的時(shí)候提取相同的攻擊模式和IP地址�。并沒有其他證據(jù)表明攻擊者已經(jīng)通過創(chuàng)建管理員用戶部署了持續(xù)后門程序或者shell�。”
根據(jù)Merrigan和Gevers表示���,面臨安全風(fēng)險(xiǎn)的MongoDB數(shù)量很難預(yù)計(jì)����。通過Shodan.io,Merrigan稱大約有5200臺(tái)服務(wù)器可訪問互聯(lián)網(wǎng)而沒有啟用身份驗(yàn)證�����。而Gevers通過搜索Shodan得出的數(shù)據(jù)約為4800臺(tái)��,但根據(jù)ZoomEye的數(shù)據(jù)顯示����,可能有高達(dá)99000個(gè)糟糕的MongoDB配置。
威脅情報(bào)平臺(tái)提供商Anomali公司首席威脅研究人員Aaron Shelmire稱���,企業(yè)擁有糟糕的MongoDB配置太常見了�����。
“每?jī)赡昃蜁?huì)出現(xiàn)新的技術(shù)堆棧���,該行業(yè)似乎花了很多時(shí)間來重新學(xué)習(xí)舊教訓(xùn)。但由于簡(jiǎn)單的安全問題而導(dǎo)致這么多安全事故����,這真的非常令人驚訝����,”Shelmire稱���,“對(duì)于企業(yè)來說�����,確保安全性的最佳方法是限制這些服務(wù)對(duì)公司VPN背后主機(jī)的訪問�����,定期備份這些數(shù)據(jù)存儲(chǔ)可減少受影響系統(tǒng)的影響��。
” Merrigan稱備份可幫助恢復(fù)“業(yè)務(wù)連續(xù)性”�,但建議為MongoDB配置設(shè)置更好的身份驗(yàn)證政策�����。
“應(yīng)使用最低權(quán)限概念���,不要嘗試鎖定它;查看MongoDB指南來強(qiáng)化系統(tǒng),特別是面向互聯(lián)網(wǎng)的系統(tǒng)����,當(dāng)連接到互聯(lián)網(wǎng)時(shí)�����,應(yīng)假設(shè)每個(gè)人都在試圖訪問你的系統(tǒng)����?�!?/p>
本文題目:MongoDB勒索攻擊蔓延原因:不安全配置
當(dāng)前網(wǎng)址:http://uogjgqi.cn/article/dpcpsjp.html
