9月5日,國家網(wǎng)絡(luò)與信息平安信息通報中心發(fā)布預(yù)警通報,稱作為全球最流行Nosql數(shù)據(jù)庫之一的MongoDB數(shù)據(jù)庫再次遭到黑客勒索攻擊.

據(jù)外媒報道：黑客團(tuán)伙劫持了MongoDB逾 26000 多臺服務(wù)器,其中規(guī)模最大的一組超過 22000 臺.

據(jù)國家網(wǎng)絡(luò)與信息平安信息通報中心監(jiān)測發(fā)現(xiàn),近期國內(nèi)外部分重要行業(yè)和部門發(fā)生了針對MongoDB數(shù)據(jù)庫的勒索事件.國家網(wǎng)絡(luò)與信息平安信息通報中心要求各地迅速排查,一旦發(fā)現(xiàn)勒索事件及時上報.

“MongoDB啟示錄”再臨?

此次攻擊由平安專家Dylan Katz和Victor Gevers發(fā)現(xiàn),被他們稱為是“MongoDB啟示錄”的延續(xù).所謂的“MongoDB啟示錄”事件始于 2016 年 12 月底,并持續(xù)到 2017 年的頭幾個月.

據(jù)悉,有多個黑客組織參與了此次攻擊,他們劫持服務(wù)器后,用勒索程序替換了其中的正常內(nèi)容.外媒稱,大多數(shù)被攻破的數(shù)據(jù)庫都在使用測試系統(tǒng),其中一部分可能包含重要生產(chǎn)數(shù)據(jù).

這些黑客組織利用MongoDB數(shù)據(jù)庫未授權(quán)訪問漏洞,劫持服務(wù)器后批量對存在漏洞的數(shù)據(jù)庫進(jìn)行“刪庫”操作并留下聯(lián)系方式,以此勒索用戶支付贖金.

針對上述情況,國家網(wǎng)絡(luò)與信息平安信息通報中心建議采取以下防范措施：

修改數(shù)據(jù)庫默認(rèn)端口或?qū)?shù)據(jù)庫部署在內(nèi)網(wǎng)環(huán)境中,將MongoDB數(shù)據(jù)庫默認(rèn)端口(TCP 27017)修改為其他端口；開啟MongoDB數(shù)據(jù)庫訪問授權(quán)；使用SSL加密功能；使用“--blind_ip”選項(xiàng),限制監(jiān)聽接口IP；開啟數(shù)據(jù)庫日志審計功能,記錄所有數(shù)據(jù)庫操作；及時做好重要數(shù)據(jù)備份工作.

三個新的黑客團(tuán)伙浮出水面

平安專家們使用Google Docs電子表格追蹤了本次攻擊,總計超過 45000 多個數(shù)據(jù)庫被攻破(有可能更多).其實(shí)除了MongoDB以外,另外幾個著名的數(shù)據(jù)庫也并未幸免,ElasticSearch、Hadoop、CouchDB、Cassandra和MySQL的服務(wù)器也都曾遭到過劫持.

今年春夏之交,曾喧囂一時的攻擊團(tuán)伙逐漸消聲遺跡,被劫持的服務(wù)器數(shù)量也呈下降趨勢.可就在上周,新出現(xiàn)的三個黑客組織再次發(fā)難,平安專家們通過贖金票據(jù)定位了他們的電子郵箱.

攻擊者數(shù)量減少,但危害不降反升

這次攻擊事件的發(fā)現(xiàn)者Victor Gevers在采訪中提到：

雖然攻擊者的數(shù)量有所減少,但每次攻擊的破壞性卻在逐步上升(被劫持的服務(wù)器數(shù)量只高不低).現(xiàn)在我們得仔細(xì)研究研究了,到底是技能缺失還是平安意識不足?為什么數(shù)據(jù)庫系統(tǒng)會持續(xù)在老舊版本運(yùn)行?還是說存在哪些尚未被我們發(fā)現(xiàn)的潛伏漏洞?

Gevers還表示,他必須引進(jìn)一批外部專家來協(xié)助分析MongoDB問題.

內(nèi)容整理于FreeBuf、網(wǎng)信浙江、國家網(wǎng)絡(luò)與信息平安信息通報中心