The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Вымогатели-шифровальщики переключились на незащищённые СУБД MongoDB

05.01.2017 09:52

В Сети зафиксирована новая атака на серверы с СУБД MongoDB, доступные без аутентификации. Выявлено около 2000 поражённых систем, на которых имеющиеся данные были удалены, а в БД добавлена таблица "WARNING_ALERT", содержащая запись с требованием выплатить 0.2 или 0.5 Bitcoin ($200 или $550) за восстановление информации. В сообщении утверждается, что данные зашифрованы, но на деле они просто удалены. При этом, в некоторых случаях в логе зафиксирован экспорт данных перед удалением.

Среди поражённых оказались конфигурации MongoDB, доступные для сетевых соединений извне и не использующие аутентификацию доступа. Подобная особенность связана с тем, что до версии 3.0 в MongoDB по умолчанию предлагались настройки, подразумевающие присоединение ко всем сетевым интерфейсам без включения аутентификации. В MongoDB 3.0 по умолчанию была осуществлена привязка к localhost, но многие системы, обновившиеся с MongoDB 2.x, сохранили прежние настройки в конфигурации, а привязка к внешним сетевым интерфейсам осталась незамеченной. Например, до сих пор остаётся открыта база одного из крупных операторов сотовой связи c данными о звонках абонентов, содержащая более 853 миллиардов записей.

Если раньше подобная беспечность приводила к утечке данных, например данный способ использовался для захвата учётных записей 13 миллионов пользователей программы MacKeeper, то теперь злоумышленники перешли к применению шантажа, надеясь заработать на серверных системах с ненадлежащим резервным копированием (расчёт сделан на то, что проблема будет выявлена администраторами после праздников, а за выходные резервные копии с реальными данными могут быть вытеснены новыми резервными копиями).

С проблемой уже столкнулось одно из учреждений здравоохранения США, у которого оказался блокирован доступ к 200 тысячам записям пациентов. Всем администраторам MongoDB рекомендуется проверить привязку к сетевым интерфейсам, заблокировать внешний доступ к сетевому порту 27017 и включить доступ с применением аутентификации (запуск с "--auth" или добавление в настройки "security.authorization"), который не активирован по умолчанию.

Дополнение: За несколько дней число атакованных систем увеличилось с 2 до 28 тысяч. В результате атак потеряно более 93 Тб данных. Зафиксировано около 30 модификаций вредоносного шифровальщика, применяемых для атаки.

  1. Главная ссылка к новости (https://www.bleepingcomputer.c...)
  2. OpenNews: Критическая уязвимость в СУБД Redis
  3. OpenNews: Выявлено вредоносное ПО, использующее уязвимые СУБД Redis для майнинга криптовалют
  4. OpenNews: Выявлено около 6000 скомпрометированных установок СУБД Redis
  5. OpenNews: Около 40 тысяч серверов MongoDB доступны без аутентификации
  6. OpenNews: Некорректно настроенные серверы MongoDB являются источником утечки 684 Тб данных
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/45817-mongodb
Ключевые слова: mongodb
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:15, 05/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Делай backup! Ведь ты же сделал backup?
     
     
  • 2.14, Санта (?), 12:49, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • +19 +/
    >> Делай backup! Ведь ты же сделал backup?

    Точноа!!! Делай бэкап и открывай доступ без пароля!!!

     
     
  • 3.15, Аноним (-), 12:53, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Это же открытый веб, зачем там закрывать доступ?) кредитные кары с cvv тоже на публику.
     
  • 2.18, анонко (?), 14:01, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Делай backup! Ведь ты же сделал backup?

    Если бы уязвимость обнаружили Касперский или Др. Вэб, первым комментом было бы ехидство по поводу "сами создали".

     
     
  • 3.32, Аноним (-), 19:57, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    "Лаборатория Касперского была уличена в создании уязвимой БД!"
     
  • 2.29, username (??), 18:34, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    тут, по-моему, беспроигрышный вариант: если не подчистили открытые наружу порты, то вероятность того, что бекап существует крайне невелика
     

  • 1.2, Аноним (-), 11:16, 05/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    > в сообщении утверждается, что данные зашифрованы, но на деле они просто удалены

    ... и так будет с каждым, кто не настраивает свои сервисы.

     
     
  • 2.44, Аноним (-), 09:56, 09/01/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так только ж арчешкольники все время чего-то конфигуряют. А у серьезных дядек на это времени нет, у них более важные дело есть - флудить в Пейсбуке/Твитторе о том, как все плохо и куды-котиццо-мир.
     

  • 1.3, Аноним (-), 11:21, 05/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Каждая веб-макака использует MongoDB
     
     
  • 2.28, Аноним (-), 16:34, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    хайп же, даже этой новостью опять хайп поднимают :)
     
     
  • 3.36, th3m3 (ok), 20:22, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    MongoDB была создана в 2009 году. По твоему, уже почти 10 лет хайп поднимают?
     
  • 2.41, Лютый жабист__ (?), 17:49, 06/01/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Неа, вебмакаки всё на мускуле и сидят. А монга - всего-лишь на порядочек более быстрая субд, чем рсубд. С элементами объектности.
     

  • 1.4, Аноним (-), 11:23, 05/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Наконец то!
     
  • 1.5, Аноним (-), 11:24, 05/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Кстати, почему на опеннете не освещаются новости такого опенсорсного проекта, как биткоин? Что это, забывчивость или идеологическая непереносимость?
     
     
  • 2.6, Аноним (-), 11:41, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Там же их много разных и каждый пилит свою реализацию со своими алгоритмами. Вы про офф клиент который может за пару дней оффлайна выкачать гигов 10 ?
     
     
  • 3.10, Аноним (-), 11:56, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Как и дистрибутивов GNU/Linux, как и (в частности) дистрибутивов GNU/Linux, нацеленных на "проверку безопасности", как и скинов для Chromium. Но о них-то новости пишутся, про каждый минор к тому же. Про GNU Taler даже написали, хотя он и в начале, и сейчас не пользуется такой популярностью, как биткоин. Тут явно не обошлось без директивного указания не замечать слона.
     
     
  • 4.27, Аноним84701 (ok), 16:17, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Как и дистрибутивов GNU/Linux, как и (в частности) дистрибутивов GNU/Linux, нацеленных
    > на "проверку безопасности", как и скинов для Chromium. Но о них-то
    > новости пишутся, про каждый минор к тому же.

    Потому что, кому-то это видимо интересно и он написал об этом новость.
    ваш КО

    > Про GNU Taler даже написали, хотя он и в начале, и сейчас не пользуется
    > такой популярностью, как биткоин.

    И это тоже, скорее всего, кому-то было интересно. Иначе бы не написал(а) новость об этом. Вы ведь в курсе, откуда здесь новости берутся и не путаете опеннет с каким-либо другим сайтом? ;)
    http://www.opennet.dev/announce_news.shtml?cache=off

    > Тут явно не обошлось без директивного указания
    > не замечать слона.

    Вы пытались запостить и вас "отбрили"? Или вы не пытались, но точно знаете, что злостные рептилоиды в лице Максима и Ко "зацензорят" все, что может помешать завоеванию мирового господства?  *scnr* )

     
  • 3.39, Аноним (-), 22:58, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > оф. клиент
     
  • 3.43, Аноним (-), 13:57, 08/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    выкачать гигов 10
    уже давно не 10, больше года назад смотрел было больше 40.
     
  • 2.7, Michael Shigorin (ok), 11:42, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Что это, забывчивость или идеологическая непереносимость?

    Разве что Ваша: http://www.opennet.dev/keywords/bitcoin.html

     
     
  • 3.11, Аноним (-), 12:03, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Целых семь новостей, в среднем одна в год, и все они связаны не напрямую с биткоином, а с биржами, неким Крейгом Райтом, угонами чьих-то частных акков и т. д. Про развитие самого биткоина ни новости.
     
     
  • 4.26, Аноним (-), 15:57, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Мань, тебе никто ничего не должен. Напишешь "правильные" новости - будут, не напишешь - жалуйся в спортлото.
     
  • 2.8, Аноним (-), 11:43, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Пишите новости, будет освещаться. Только сразу скажу, о срaчах по поводу размера блока, колебаниях курса и вяканьях политиков тут новостей не будет, как и резводов про аренду мощностей для майнинга которые так любят на быд*лохабре. А больше там писать особо и не о чем - не о минорных же версиях електрума. Валюта постепенно захватывает мир, это уже не новость.
     
     
  • 3.24, Crazy Alex (ok), 15:11, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Про тот же segwit, например, неплохо было бы на пальцвх объяснить, благо там не особо сложна базовая идея
     
  • 3.34, Аноним (-), 20:05, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сказал аноним как отрезал.


     
  • 2.16, anonymous (??), 12:54, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кстати, почему на опеннете не освещаются новости такого опенсорсного проекта, как биткоин?

    Так вот же, прямо в этой статье.

     

  • 1.13, Анын (ok), 12:36, 05/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Из серии "Нахрена нам админ? Тут установить одной командой"
     
     
  • 2.17, Аноним (-), 13:37, 05/01/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Неа. И серии "работает - не трогай".

    >В MongoDB 3.0 по умолчанию была осуществлена привязка к localhost, но многие системы, обновившиеся с MongoDB 2.x, сохранили прежние настройки в конфигурации, а привязка к внешним сетевым интерфейсам осталась незамеченной.

     
     
  • 3.46, stalkerdroad (ok), 02:44, 11/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это из серии "В линуксе не нужно настраивать фаервол".
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру