Bleeping Computer предупреждает о новой волне атак на СУБД MongoDB с целью получения выкупа. По свидетельству Дави Оттенхаймера (Davi Ottenheimer), старшего директора по обеспечению безопасности продуктов MongoDB, Inc., успеху атакующих в большой мере способствует отсутствие элементарной защиты продукта компании на местах.

«Мы отслеживаем ситуацию, что помогает расследовать инциденты и оказывать помощь, — пишет Оттенхаймер в блоге компании. — …Мы ознакомились с деталями атак, чтобы понять, где и когда пользователь лишил систему защиты, подключив ее к Интернету без пароля к аккаунту администратора, а также кто его атакует».

Напомним, первая волна взломов баз данных MongoDB, со стиранием содержимого и требованием выкупа в биткойнах, прокатилась в Интернете в начале текущего года. К середине января число варварских нападений резко возросло, а затем, истощив запас пригодных мишеней, злоумышленники переключились на ElasticSearch, CouchDB, Hadoop, Cassandra и MySQL.

За ходом событий на этом фронте внимательно следит Виктор Геверс (Victor Gevers), фиксируя подробности в составленной еще в январе таблице. В приватной беседе с журналистом Bleeping Computer исследователь подтвердил первые результаты расследования MongoDB, Inc. При этом Геверс не преминул отметить, что вторую серию атак на популярную СУБД спровоцировали сами владельцы баз данных, не позаботившиеся о надежной защите подключенных к Сети экземпляров.

Новая серия атак на MongoDB стартовала в конце августа. На настоящий момент установлено, что в текущей киберкампании принимают участие три новые группы хакеров, которым уже удалось скомпрометировать около 27 тыс. серверов MongoDB. «В сравнении с началом года число (новых) авторов атак сократилось, а величина потерь в результате атаки (судя по количеству жертв) возросла, — заявил Геверс репортеру Bleeping Computer. — Похоже, атакующих стало меньше, а вредят они больше».

И действительно, в прошлый раз десятку хакерских группировок пришлось целый месяц трудиться не покладая рук, чтобы скомпрометировать более 40 тыс плохо защищенных баз данных MongoDB, а ныне три автора атак скомпрометировали половину таких объектов за неделю. При этом одна из новых групп, идентифицируемая как cru3lty@safe-mail.net (по почтовому адресу, с которого отправляется сообщение с требованием выкупа), взломала около 22,5 тыс серверов.

Размеры выкупа колеблются в пределах 0,05-0,2 биткойна, хотя не факт, что его уплата поможет вернуть данные, утраченные в результате атаки: свидетельств копирования информации злоумышленниками пока не обнаружено. Кроме того, если жертве даже удастся восстановить данные из резервных копий, она не застрахована от повторной атаки. Зафиксирован случай, когда жертва воспользовалась бэкапом, но не удосужилась усилить защиту и в тот же день была атакована вновь.

В текущем году GDI Foundation, отслеживающая плохо защищенные сетевые устройства (Геверс занимает пост председателя правления этой организации), обнаружила в открытом доступе около 50 тыс. слабо защищенных экземпляров MongoDB; из них лишь 828 впоследствии получили защиту против взлома.

Большинство уязвимых баз данных были уничтожены в ходе январской кампании, однако с тех пор появился ряд новых реализаций, пригодных для атаки. Их владельцы явно пренебрегают правилами обеспечения безопасности, подключая системы к Интернету, и в своей блог-записи Оттенхаймер еще раз напомнил администраторам о необходимости своевременной установки обновлений и ввода защиты как минимум для конфигурационных файлов.

Со своей стороны, разработчик MongoDB пообещал в ближайшее время ужесточить ИБ-политики для баз данных. «Начиная с версии 3.5.7 для разработчиков, привязка localhost-only будет реализована непосредственно в сервере MongoDB и станет доступной по умолчанию во всех дистрибутивах, — раскрывает планы компании Оттенхаймер. — Это нововведение будет также включено в состав грядущей серийной версии 3.6».

MongoDB, Inc. также собирается добавить предупреждения в свой центр загрузок. Рекомендации компании по обеспечению ИБ уже нашли воплощение в ее проекте MongoDB Atlas (СУБД-как-услуга).

Категории: Главное, Кибероборона, Хакеры