The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

05.01.2017 09:52  Вымогатели-шифровальщики переключились на незащищённые СУБД MongoDB

В Сети зафиксирована новая атака на серверы с СУБД MongoDB, доступные без аутентификации. Выявлено около 2000 поражённых систем, на которых имеющиеся данные были удалены, а в БД добавлена таблица "WARNING_ALERT", содержащая запись с требованием выплатить 0.2 или 0.5 Bitcoin ($200 или $550) за восстановление информации. В сообщении утверждается, что данные зашифрованы, но на деле они просто удалены. При этом, в некоторых случаях в логе зафиксирован экспорт данных перед удалением.

Среди поражённых оказались конфигурации MongoDB, доступные для сетевых соединений извне и не использующие аутентификацию доступа. Подобная особенность связана с тем, что до версии 3.0 в MongoDB по умолчанию предлагались настройки, подразумевающие присоединение ко всем сетевым интерфейсам без включения аутентификации. В MongoDB 3.0 по умолчанию была осуществлена привязка к localhost, но многие системы, обновившиеся с MongoDB 2.x, сохранили прежние настройки в конфигурации, а привязка к внешним сетевым интерфейсам осталась незамеченной. Например, до сих пор остаётся открыта база одного из крупных операторов сотовой связи c данными о звонках абонентов, содержащая более 853 миллиардов записей.

Если раньше подобная беспечность приводила к утечке данных, например данный способ использовался для захвата учётных записей 13 миллионов пользователей программы MacKeeper, то теперь злоумышленники перешли к применению шантажа, надеясь заработать на серверных системах с ненадлежащим резервным копированием (расчёт сделан на то, что проблема будет выявлена администраторами после праздников, а за выходные резервные копии с реальными данными могут быть вытеснены новыми резервными копиями).

С проблемой уже столкнулось одно из учреждений здравоохранения США, у которого оказался блокирован доступ к 200 тысячам записям пациентов. Всем администраторам MongoDB рекомендуется проверить привязку к сетевым интерфейсам, заблокировать внешний доступ к сетевому порту 27017 и включить доступ с применением аутентификации (запуск с "--auth" или добавление в настройки "security.authorization"), который не активирован по умолчанию.

Дополнение: За несколько дней число атакованных систем увеличилось с 2 до 28 тысяч. В результате атак потеряно более 93 Тб данных. Зафиксировано около 30 модификаций вредоносного шифровальщика, применяемых для атаки.

  1. Главная ссылка к новости (https://www.bleepingcomputer.c...)
  2. OpenNews: Критическая уязвимость в СУБД Redis
  3. OpenNews: Выявлено вредоносное ПО, использующее уязвимые СУБД Redis для майнинга криптовалют
  4. OpenNews: Выявлено около 6000 скомпрометированных установок СУБД Redis
  5. OpenNews: Около 40 тысяч серверов MongoDB доступны без аутентификации
  6. OpenNews: Некорректно настроенные серверы MongoDB являются источником утечки 684 Тб данных
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mongodb
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:15, 05/01/2017 [ответить] [смотреть все]
  • +8 +/
    Делай backup! Ведь ты же сделал backup?
     
     
  • 2.14, Санта, 12:49, 05/01/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +19 +/
    >> Делай backup! Ведь ты же сделал backup?

    Точноа!!! Делай бэкап и открывай доступ без пароля!!!

     
     
  • 3.15, Аноним, 12:53, 05/01/2017 [^] [ответить] [смотреть все]
  • +6 +/
    Это же открытый веб, зачем там закрывать доступ?) кредитные кары с cvv тоже на публику.
     
  • 2.18, анонко, 14:01, 05/01/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Если бы уязвимость обнаружили Касперский или Др Вэб, первым комментом было бы е... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, Аноним, 19:57, 05/01/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    "Лаборатория Касперского была уличена в создании уязвимой БД!"
     
  • 2.29, username, 18:34, 05/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    тут, по-моему, беспроигрышный вариант если не подчистили открытые наружу порты,... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, Аноним, 11:16, 05/01/2017 [ответить] [смотреть все]  
  • +16 +/
    > в сообщении утверждается, что данные зашифрованы, но на деле они просто удалены

    ... и так будет с каждым, кто не настраивает свои сервисы.

     
     
  • 2.44, Аноним, 09:56, 09/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Так только ж арчешкольники все время чего-то конфигуряют А у серьезных дядек на... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, Аноним, 11:21, 05/01/2017 [ответить] [смотреть все]  
  • +2 +/
    Каждая веб-макака использует MongoDB
     
     
  • 2.28, Аноним, 16:34, 05/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    хайп же, даже этой новостью опять хайп поднимают :)
     
     
  • 3.36, th3m3, 20:22, 05/01/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    MongoDB была создана в 2009 году. По твоему, уже почти 10 лет хайп поднимают?
     
  • 2.41, Лютый жабист__, 17:49, 06/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –5 +/
    Неа, вебмакаки всё на мускуле и сидят А монга - всего-лишь на порядочек более б... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Аноним, 11:23, 05/01/2017 [ответить] [смотреть все]  
  • +2 +/
    Наконец то!
     
  • 1.5, Аноним, 11:24, 05/01/2017 [ответить] [смотреть все]  
  • –6 +/
    Кстати, почему на опеннете не освещаются новости такого опенсорсного проекта, ка... весь текст скрыт [показать]
     
     
  • 2.6, Аноним, 11:41, 05/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Там же их много разных и каждый пилит свою реализацию со своими алгоритмами Вы ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, Аноним, 11:56, 05/01/2017 [^] [ответить] [смотреть все]  
  • +7 +/
    Как и дистрибутивов GNU/Linux, как и (в частности) дистрибутивов GNU/Linux, нацеленных на "проверку безопасности", как и скинов для Chromium. Но о них-то новости пишутся, про каждый минор к тому же. Про GNU Taler даже написали, хотя он и в начале, и сейчас не пользуется такой популярностью, как биткоин. Тут явно не обошлось без директивного указания не замечать слона.
     
     
  • 4.27, Аноним84701, 16:17, 05/01/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Потому что, кому-то это видимо интересно и он написал об этом новость ваш КО И... весь текст скрыт [показать]
     
  • 3.39, Аноним, 22:58, 05/01/2017 [^] [ответить] [смотреть все]  
  • +/
    > оф. клиент
     
  • 3.43, Аноним, 13:57, 08/01/2017 [^] [ответить] [смотреть все]  
  • +/
    выкачать гигов 10
    уже давно не 10, больше года назад смотрел было больше 40.
     
  • 2.7, Michael Shigorin, 11:42, 05/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Разве что Ваша http www opennet ru keywords bitcoin html... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, Аноним, 12:03, 05/01/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Целых семь новостей, в среднем одна в год, и все они связаны не напрямую с битко... весь текст скрыт [показать]
     
     
  • 4.26, Аноним, 15:57, 05/01/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Мань, тебе никто ничего не должен Напишешь правильные новости - будут, не нап... весь текст скрыт [показать]
     
  • 2.8, Аноним, 11:43, 05/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Пишите новости, будет освещаться Только сразу скажу, о срaчах по поводу размера... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Crazy Alex, 15:11, 05/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Про тот же segwit, например, неплохо было бы на пальцвх объяснить, благо там не ... весь текст скрыт [показать]
     
  • 3.34, Аноним, 20:05, 05/01/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Сказал аноним как отрезал.


     
  • 2.16, anonymous, 12:54, 05/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Так вот же, прямо в этой статье ... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, Анын, 12:36, 05/01/2017 [ответить] [смотреть все]  
  • +8 +/
    Из серии "Нахрена нам админ? Тут установить одной командой"
     
     
  • 2.17, Аноним, 13:37, 05/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Неа И серии работает - не трогай ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, stalkerdroad, 02:44, 11/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Это из серии "В линуксе не нужно настраивать фаервол".
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor