سرقت اطلاعات پایگاه داده‌ی MongoDB و درخواست باج

محققان امنیتی تقریباً دو سال قبل هشدار دادند که نمونه‌هایی از پایگاه داده‌ی MongoDB به‌طور عمومی در سطح اینترنت قابل دستیابی است و به هیچ‌گونه احراز هویت نیاز ندارد. با این شرایط بسیاری از وب‌گاه‌ها و کارگزارها به‌طور بالقوه در معرض خطر قرار داشتند.

در نمونه‌های پایگاه داده‌ی MongoDB هیچ‌گونه آسیب‌پذیری نرم‌افزاری وجود ندارد ولی برخی پیکربندی‌های نامناسب، پایگاه داده را در دسترس نفوذگران قرار می‌دهد و هیچ ابزار نفوذی نیاز نیست.
در نسخه‌های بعدی این پایگاه داده این مسئله در پیکربندی پیش‌فرض برطرف شد ولی هنوز هزاران وب‌گاه وجود دارد که از این پایگاه داده استفاده می‌کنند و توسط مدیران وصله نشده‌اند.

یک نفوذگر، اطلاعات این پایگاه داده‌های ناامن را به سرقت برده و آن‌ها را پاک کرده ولی یک رونوشت از داده‌های آن را نگه داشته است. این نفوذگر برای برگرداندن این داده‌ها از مدیران وب‌گاه‌ها ۰.۲ بیت‌کوین باج درخواست کرده است. بنابراین مدیرانی که پرونده‌ی پشتیبان از این پایگاه داده ندارند، ناچار هستند باج را پرداخت کنند. در حقیقت افزایش قیمت بیت‌کوین این موضوع را پیچیده‌تر می‌کند.

یک محقق امنیتی این حملات را شناسایی کرده و از طریق توییتر به صاحبان این پایگاه داده‌ها اطلاع داده است. این محقق دست‌کم ۲۰۰ نمونه پایگاه داده MongoDB را شناسایی کرده که اطلاعات آن‌ها پاک شده و برای برگرداندن از آن‌ها باج درخواست شده است. این در حالی است که پویش‌های ابزار Shodan نشان می‌دهد نزدیک به ۲۰۰۰ پایگاه داده در معرض خطر قرار دارند.

این حملات به مدت یک هفته ادامه داشته و کارگزارها در سطح جهان را هدف قرار داده است. محققان امنیتی معتقدند نفوذگر با نام harak۱r۱ بجای رمزنگاری پرونده‌ها، اسکریپتی را اجرا می‌کند که محتوای پایگاه داده را با پیغام باج‌خواهی جایگزین می‌کند.
این محقق امنیتی پس از دستیابی به کارگزارها بر روی پایگاه داده تنها یک جدول با نام «هشدار» مشاهده کرد. در این پیغام باج‌خواهی آمده است: «مبلغ ۰.۲ بیت‌کوین را به آدرس ۱۳zaxGVjj۹MNc۲jyvDRhLyYpkCh۳۲۳MsMq ارسال کنید و سپس آدرس IP کارگزار خود را از طریق رایانامه به ما اطلاع دهید تا پایگاه داده‌ی شما برگردانده شود.»

در حال حاضر ۱۶ قربانی باج درخواستی را پرداخت کرده‌اند. محققان امنیتی از سال ۲۰۱۵ نسبت به نصب پایگاه داده‌ی MongoDB هشدار داده‌اند. اشکالات این پایگاه داده به نفوذگران اجازه می‌دهد بدون نیاز به احراز هویت، از راه دور به پایگاه داده در سطح اینترنت دسترسی داشته باشند. او همچنین گزارش داد بر روی سرویس‌های اَبر آمازون، Digital Ocean ،Linode و ارائه‌دهنده‌ی اینترنت OVH تعداد ۳۰ هزار نمونه پایگاه داده‌ی MongoDB به‌طور عمومی قابل دستیابی بوده و این تعداد رو به افزایش است.

چگونه بفهمیم که به پایگاه داده‌ی ما نفوذ شده است؟
حساب‌های کاربری بر روی MongoDB را بررسی کرده و ببینید آیا حساب ادمین مخفی ایجاد شده است یا خیر.
بخش GridFS را بگردید و بررسی کنید که پرونده‌های جدیدی در آن ذخیره نشده باشد.
رکوردهای ثبت‌شده توسط پایگاه داده را بررسی کرده و ببینید چه کسانی به پایگاه داده دسترسی داشته‌اند.

چگونه در برابر این حملات از پایگاه داده محافظت کنیم؟
بر روی شبکه‌ای که در معرض خطر قرار گرفته، احراز هویت MongoDB را فعال کنید و در پرونده‌ی پیکربندی گزینه‌ی — auth = true را تنظیم کنید.
دسترسی‌های از راه دور به پایگاه داده MongoDB را مسدود کنید. به مدیران توصیه می‌شود از دیواره آتش استفاده کنند و دسترسی به درگاه ۲۷۰۱۷ را مسدود نمایند.
با نگاشت آدرس‌های IP بر روی دسترسی به کارگزار محدودیت بگذارید.
به مدیران وب‌گاه‌ها قویاً توصیه می‌شود نرم‌افزارهای خود را به آخرین نسخه به‌روزرسانی کنند.

پایگاه داده‌ی MongoDB یکی از محبوب‌ترین پایگاه داده‌های متن‌باز و NoSQL است که توسط شرکت‌های مختلفی از جمله ای‌بِی، Sourceforge، نیویورک تایمز و لینکدین مورد استفاده قرار می‌گیرد. به مدیران توصیه شده است فهرست امنیتی که توسط این شرکت ارائه شده را دنبال کنند.

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.