|
Поредната вълна от атаки към софтуера за организация на бази данни MongoDB, провокираха хората, стоящи зад проекта да наложат по-голям контрол над инсталациите. Както вече ви съобщихме, миналата седмица две отделни престъпни групи проведоха атаки към незащитени MongoDB инстанции, което доведе до компрометирането на над 26 000 бази данни. Настоящите атаки следват сходна кампания от края на миналата и началото на настоящата година, при която бяха поразени 33 000 DB инстанции. Подобно и на предишните, тези атаки включваха търсенето на незащитени инсталации на базата на MongoDB, копирането им на сървърите на атакуващата страна, изтриването им от оригиналната им локация и искането на откуп за връщането им. Според Виктор Жерве, специалист от GDI Foundation, който откри и разследва двете кампании, в много от случаите престъпниците просто изтриват базите данни без да ги копират. При първата серия от атаки, престъпниците монетизират сериозно усилията си, докато при тази нова вълна от атаки, платилите откуп са далеч по-малко засега. Падналите в жертва инстанции са били зле конфигурирани и незащитени, като има случаи, в които са били изложени на Интернет без администраторска парола за достъп, съобщават от MongoDB в публикация от тази седмица в блога на компанията. Това е накарало хората, администриращи проекта да затегнат инсталационните конфигурации. Така, вече е въведено обвързване към локалния хост (localhost binding) като настройка по подразбиране при инсталация (в RPM и deb пакетите), която присъства от версия 2.6.0 нататък. Това означава, че всички мрежови връзки биват конфигурирани задължително от администратора. „С версия 3.5.7 обвързването с локалния хост единствено бива имплементирано директно в MongoDB сървъра, което ще го направи стандартно поведение за всички дистрибуции. Това ще бъде въведено и вече готовата за пускане версия 3.6“, пишат от компанията. Жерве коментира, че са регистрирани множество случаи, в които бази данни са атакувани многократно, което означава, че нерядко администриращите ги не си вземат бележка от атаката. Също така, атакуващата страна използва готови инструменти в сканирането за потенциални жертви, използвайки Shodan, а не свои собствени инструменти. Неговата организация, напомня той, е съставена от доброволци и надали могат да помогнат на всички засегнати. В интервю за SecurityWeek, той споделя, че по време на разследването на инцидентите е станал свидетел на „едни от най-ужасяващите загуби на данни“, в които е виждал в цялата си кариера, като един от случаите е включвал унищожаването на данните на стотици хиляди болнични пациенти. „Повечето хора нямат идея какво правят. Виждаме го при всички големи продукти (с открит код). CouchDB, Redis, ElasticSearch, Hadoop HDFS, Jenkins и други“, обяснява Жерве. |
|
