A Ransomware közelmúltban néhány nem biztonságos MongoDB telepítést talált, és az adatokat szabaddá tette. Itt meglátjuk, mi van MongoDB és nézzen meg néhány lépést a MongoDB adatbázisa védelmére és védelmére. Először is, egy rövid bevezető a MongoDB-ről.
Mi a MongoDB?
A MongoDB egy nyílt forráskódú adatbázis, amely adatokat tárol egy rugalmas dokumentumadatmodell segítségével. A MongoDB eltér a hagyományos adatbázisoktól, amelyek táblákkal és sorokkal vannak felépítve, míg a MongoDB gyűjtemények és dokumentumok architektúráját használja.
Dinamikus sématervezés után a MongoDB lehetővé teszi, hogy a gyűjteményben szereplő dokumentumok különböző területeket és struktúrákat használjanak. Az adatbázis BSON nevű dokumentum-tárolási és adatcsere-formátumot használ, amely bináris ábrázolása a JSON-szerű dokumentumoknak. Így az adatintegráció egyes alkalmazásokhoz gyorsabb és könnyebb.
A Ransomware megtámadja a MongoDB-adatokat
A közelmúltban Victor Gevers, egy biztonsági kutató mesélte róla, hogy Ransomware támadásokkal foglalkozik a rosszul védett MongoDB telepítésekkel kapcsolatban. A támadások tavaly decemberben kezdődtek a karácsonyi 2016 körül, és azóta több ezer MongoDB szervert fertőzöttek meg.
Victor eredetileg 200 MongoDB telepítést talált, amelyeket megtámadtak és váltságdíjakért tartottak. Azonban hamarosan a fertőzött telepítések 2000 DB-re emelkedtek, amint azt egy másik kutató, Shodan John Matherly alapítója beszámolt, és az 1utca 2017-es héten a kompromittált rendszerek száma több mint 27 000 volt.
Kérte Ransom
A kezdeti beszámolók azt sugallták, hogy a támadók 0,2 béta bitcoinnak (kb. 184 dollár) igényelték a váltságdíjat, amelyet 22 áldozat fizetett. Jelenleg a támadók növelték a váltságdíjat, és jelenleg 1 Bitcoint igényelnek (kb. 906 USD).
A közzétételt követően a biztonsági kutatók több mint 15 hackert azonosítottak, akik a MongoDB kiszolgálók eltérítésében vettek részt. Ezek közül egy támadó használja e-mail fogantyú kraken0 van több mint 15.482 MongoDB szervert veszélyeztetett és 1 Bitcoint igényel az elveszett adatok visszaküldésére.
Hogyan bukkannak be a MongoDB Ransomware
Azok a MongoDB szerverek, amelyek az interneten keresztül jelszó nélkül érhetők el, azok voltak, akiket a hackerek célozzanak meg. Ezért a szerver-adminisztrátorok, akik úgy döntöttek, hogy futtatják szervereiket jelszó nélkül és alkalmazzák alapértelmezett felhasználónevek a hackerek könnyen észrevették.
Mi még rosszabb, ugyanannak a kiszolgálónak a példái vannak amit a különböző hackercsoportok újra hackelnek akik a meglévő váltságjegyzéseket a sajátjukkal helyettesítik, és lehetetlenné teszik az áldozatok számára, hogy tudják-e, hogy még fizetik-e a jogot a bűnözőnek, nem beszélve arról, hogy az adataik visszanyerhetők-e. Ezért nincs bizonyosság, ha az ellopott adatok bármelyikét visszaadják. Ezért még akkor is, ha fizetett a váltságdíjat, az adatok még mindig eltűntek.
MongoDB biztonság
Szükség van arra, hogy a szerver-adminisztrátoroknak erős jelszót és felhasználónevet kell megadniuk az adatbázis eléréséhez. A MongoDB alapértelmezett telepítésével foglalkozó cégek is ajánlottak frissítik szoftverüket, állítsa be a hitelesítést és zárja le a 27017-es portot amelyre a leggyakrabban a hackerek tartoznak.
A MongoDB adatainak védelme
A hozzáférési ellenőrzés és hitelesítés kényszerítése
Kezdje a következő lépéseket: A kiszolgáló beléptetése engedélyezése és a hitelesítési mechanizmus megadása. A hitelesítés megköveteli, hogy minden felhasználó érvényes hitelesítő adatokat szolgáltasson, mielőtt csatlakozhatna a szerverhez.
A legutolsó MongoDB 3.4 A kiadás lehetővé teszi a hitelesítés beállítását egy védett rendszerhez leállás nélkül.
A szerepkör alapú hozzáférés-vezérlés beállítása
Ahelyett, hogy teljes körű hozzáférést biztosítana egy felhasználóhoz, hozzon létre olyan szerepeket, amelyek meghatározzák a felhasználók hozzáférésének pontos hozzáférését. Kövesse a legkevésbé kiváltság elvét. Ezután hozza létre a felhasználókat, és csak azokat a szerepeket rendelheti hozzá, amelyekre szükségük van a műveletek végrehajtásához.
Kommunikáció titkosítása
A titkosított adatokat nehéz értelmezni, és nem sok hacker képes sikeresen visszafejteni. A MongoDB konfigurálása TLS / SSL használatára minden bejövő és kimenő kapcsolat esetén. Használja a TLS / SSL protokollt a MongoDB kliens mongod és mongos komponensei, valamint az összes alkalmazás és a MongoDB közötti kommunikáció titkosításához.
A MongoDB Enterprise 3.2 használatával a WiredTiger tárolómotorjának natív titkosítása a Restnél beállítható úgy, hogy titkosítja az adatokat a tároló rétegben. Ha nem használja a WiredTiger titkosítását nyugalmi állapotban, a MongoDB-adatokat minden állomáson titkosítani kell fájlrendszer, eszköz vagy fizikai titkosítás használatával.
A hálózati expozíció korlátozása
A hálózati expozíció korlátozása érdekében győződjön meg róla, hogy a MongoDB megbízható hálózati környezetben fut. Az adminisztrátoroknak csak megbízható klienseknek kell hozzáférniük ahhoz a hálózati interfészhez és portokhoz, amelyeken a MongoDB példányok elérhetők.
Az adatok biztonsági mentése
A MongoDB Cloud Manager és a MongoDB Ops Manager folyamatos biztonsági másolatot biztosít a pont-időben történő helyreállítással, és a felhasználók engedélyezhetik a Cloud Manager figyelmeztetéseit annak észlelésében, hogy a telepítésük interneten van-e kitéve
Audit rendszer tevékenység
A könyvvizsgálati rendszerek rendszeres időközönként biztosítják, hogy tisztában legyenek az adatbázisban történt szabálytalan változásokkal. Az adatbázis-konfigurációk és az adatok elérésének követése.A MongoDB Enterprise olyan rendszerellenőrzési létesítményt tartalmaz, amely rögzíti a rendszer eseményeit egy MongoDB példányban.
Futtasd a MongoDB-t egy dedikált felhasználóval
Futtassa a MongoDB folyamatokat egy dedikált operációs rendszer felhasználói fiókkal. Győződjön meg róla, hogy a fiók jogosult hozzáférni az adatokhoz, de nincs szükség felesleges engedélyekre.
Futtassa a MongoDB-t biztonságos konfigurációs beállításokkal
A MongoDB támogatja a JavaScript-kód végrehajtását bizonyos kiszolgálóoldali műveletekhez: mapReduce, csoport, és $ ahol. Ha nem használja ezeket a műveleteket, tiltsa le a kiszolgálóoldali parancsfájlokat a parancssorban található -noscripting opció használatával.
Csak a MongoDB vezetékes protokollt használja a termelési telepítéseknél. A beviteli érvényesítés engedélyezése engedélyezett. A MongoDB alapértelmezés szerint engedélyezi a beviteli érvényesítést a wireObjectCheck beállításon keresztül. Ez biztosítja, hogy a mongod példány által tárolt összes dokumentum érvényes BSON.
Biztonsági technikai megvalósítási útmutató kérése (adott esetben)
A Biztonsági Technikai Végrehajtási Útmutató (STIG) az Egyesült Államok Védelmi Minisztériumán belüli biztonsági telepítési utasításokat tartalmazza. A MongoDB Inc. kérésére a STIG-ot olyan helyzetekre ruházza fel, ahol erre szükség van. További információért kérhet egy példányt.
Fontolja meg a biztonsági szabványok betartását
A HIPAA vagy a PCI-DSS megfelelőségét igénylő alkalmazásoknál olvassa el a MongoDB biztonsági referenciaarchitektúráját itt hogy többet tudjon meg arról, hogyan tudja használni a legfontosabb biztonsági funkciókat a megfelelő alkalmazási infrastruktúra kiépítéséhez.
Megtudhatja, hogy a MongoDB telepítése feltört-e
- Ellenőrizze az adatbázisokat és a gyűjteményeket. A hackerek általában lefagyják az adatbázisokat és gyűjteményeket, és újakat cserélnek, miközben váltásért kérték az eredeti példányt
- Ha a hozzáférés-vezérlés engedélyezve van, ellenőrizze a rendszer naplóit, hogy kiderítse a jogosulatlan hozzáférési kísérleteket vagy gyanús tevékenységeket. Keresse meg azokat a parancsokat, amelyek az adatok lemorzsolódtak, módosított felhasználók, vagy létrehozták a váltságkeresési rekordot.
Ne feledje, hogy nincs garancia arra, hogy az adataidat a kifizetés után is meg fogják fizetni. Ezért a támadást követően az elsődleges prioritásnak biztosítania kell a fürtjeit, hogy megakadályozzák az illetéktelen hozzáférést.
Ha biztonsági másolatot készít, akkor a legfrissebb verzió visszaállításának időpontjában értékelheti, hogy a legfrissebb biztonsági mentés és a támadás ideje óta változott-e az adatok. További információért látogasson el mongodb.com.
