forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выявлено вымогательское ПО, поражающее незащищённые СУБД Mon..."
Отправлено opennews, 05-Янв-17 11:15

В Сети зафиксирована (https://medium.com/@mbromileyDFIR/its-10pm-do-you-know-...) новая атака на серверы с СУБД MongoDB, доступные без аутентификации Выявлено (https://twitter.com/achillean/status/816385533538631680) около 2000 поражённых систем, на которых имеющиеся данные были удалены, а в БД добавлена таблица "WARNING_ALERT", содержащая запись с требованием выплатить 0.2 или 0.5 Bitcoin ($200 или $550) за восстановление информации (в сообщении утверждается, что данные зашифрованы, но на деле они просто удалены (https://twitter.com/0xDUDE/status/816798596997726209)).
Среди поражённых оказались конфигурации MongoDB, доступные для сетевых соединений извне и не использующие аутентификацию доступа. Подобная особенность связана с тем, что до версии 3.0 в MongoDB по умолчанию предлагались настройки, подразумевающие присоединение ко всем сетевым интерфейсам без включения аутентификации. В MongoDB 3.0 по умолчанию была осуществлена привязка к localhost, но многие системы, обновившиеся с MongoDB 2.x, сохранили прежние настройки в конфигурации, а привязка к внешним сетевым интерфейсам осталась незамеченной. Например, до сих пор остаётся открыта (https://twitter.com/0xDUDE/status/815293674011693056/photo/1) база одного из крупных операторов сотовой связи c данными о звонках абонентов, содержащая более 853 миллиардов записей.
Если раньше подобная беспечность приводила (https://www.opennet.ru/opennews/art.shtml?num=41661) к утечк (https://www.opennet.ru/opennews/art.shtml?num=43540)е данных, например данный способ использовался для захвата учётных записей 13 миллионов пользователей программы MacKeeper, то теперь злоумышленники перешли к применению шантажа, надеясь заработать на серверных системах с ненадлежащим резервным копированием (расчёт сделан на то, что проблема будет выявлена администраторами после праздников, а за выходные резервные копии с реальными данными могут быть вытеснены новыми резервными копиями).

С проблемой уже столкнулось одно из учреждений здравоохранения США, у которого оказался блокирован доступ к 200 тысячам записям пациентов. Всем администраторам MongoDB рекомендуется проверить (https://docs.mongodb.com/manual/administration/security-chec.../) привязку к сетевым интерфейсам, заблокировать внешний доступ к сетевому порту 27017 и включить (https://docs.mongodb.com/manual/tutorial/enable-authentication/) доступ с применением аутентификации (запуск с "--auth" или добавление в настройки "security.authorization"), который не активирован по умолчанию.

URL: https://www.bleepingcomputer.com/news/security/mongodb-datab.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=45817

Исходное сообщение
"Выявлено вымогательское ПО, поражающее незащищённые СУБД Mon..." Отправлено opennews, 05-Янв-17 11:15
В Сети зафиксирована (https://medium.com/@mbromileyDFIR/its-10pm-do-you-know-...) новая атака на серверы с СУБД MongoDB, доступные без аутентификации Выявлено (https://twitter.com/achillean/status/816385533538631680) около 2000 поражённых систем, на которых имеющиеся данные были удалены, а в БД добавлена таблица "WARNING_ALERT", содержащая запись с требованием выплатить 0.2 или 0.5 Bitcoin ($200 или $550) за восстановление информации (в сообщении утверждается, что данные зашифрованы, но на деле они просто удалены (https://twitter.com/0xDUDE/status/816798596997726209)). Среди поражённых оказались конфигурации MongoDB, доступные для сетевых соединений извне и не использующие аутентификацию доступа. Подобная особенность связана с тем, что до версии 3.0 в MongoDB по умолчанию предлагались настройки, подразумевающие присоединение ко всем сетевым интерфейсам без включения аутентификации. В MongoDB 3.0 по умолчанию была осуществлена привязка к localhost, но многие системы, обновившиеся с MongoDB 2.x, сохранили прежние настройки в конфигурации, а привязка к внешним сетевым интерфейсам осталась незамеченной. Например, до сих пор остаётся открыта (https://twitter.com/0xDUDE/status/815293674011693056/photo/1) база одного из крупных операторов сотовой связи c данными о звонках абонентов, содержащая более 853 миллиардов записей. Если раньше подобная беспечность приводила (https://www.opennet.ru/opennews/art.shtml?num=41661) к утечк (https://www.opennet.ru/opennews/art.shtml?num=43540)е данных, например данный способ использовался для захвата учётных записей 13 миллионов пользователей программы MacKeeper, то теперь злоумышленники перешли к применению шантажа, надеясь заработать на серверных системах с ненадлежащим резервным копированием (расчёт сделан на то, что проблема будет выявлена администраторами после праздников, а за выходные резервные копии с реальными данными могут быть вытеснены новыми резервными копиями). С проблемой уже столкнулось одно из учреждений здравоохранения США, у которого оказался блокирован доступ к 200 тысячам записям пациентов. Всем администраторам MongoDB рекомендуется проверить (https://docs.mongodb.com/manual/administration/security-chec.../) привязку к сетевым интерфейсам, заблокировать внешний доступ к сетевому порту 27017 и включить (https://docs.mongodb.com/manual/tutorial/enable-authentication/) доступ с применением аутентификации (запуск с "--auth" или добавление в настройки "security.authorization"), который не активирован по умолчанию. URL: https://www.bleepingcomputer.com/news/security/mongodb-datab.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=45817

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В Сети зафиксирована (https://medium.com/@mbromileyDFIR/its-10pm-do-you-know-where-your-mongodb-is-a83b8a55ab12#.k2lb1cj7r) 
> новая атака на серверы с СУБД MongoDB, доступные без аутентификации Выявлено 
> (https://twitter.com/achillean/status/816385533538631680) около 2000 поражённых 
> систем, на которых имеющиеся данные были удалены, а в БД добавлена 
> таблица "WARNING_ALERT", содержащая запись с требованием выплатить 0.2 или 0.5 Bitcoin 
> ($200 или $550) за восстановление информации (в сообщении утверждается, что данные 
> зашифрованы, но на деле они просто удалены (https://twitter.com/0xDUDE/status/816798596997726209)).

> Среди поражённых оказались конфигурации MongoDB, доступные для сетевых соединений извне 
> и не использующие аутентификацию доступа. Подобная особенность связана с тем, что 
> до версии 3.0 в MongoDB по умолчанию предлагались настройки, подразумевающие присоединение 
> ко всем сетевым интерфейсам без включения аутентификации. В MongoDB 3.0 по 
> умолчанию была осуществлена привязка к localhost, но многие системы, обновившиеся с 
> MongoDB 2.x, сохранили прежние настройки в конфигурации, а привязка к внешним 
> сетевым интерфейсам осталась незамеченной. Например, до сих пор остаётся открыта (https://twitter.com/0xDUDE/status/815293674011693056/photo/1) 
> база одного из крупных операторов сотовой связи c данными о звонках 
> абонентов, содержащая более 853 миллиардов записей.

> Если раньше подобная беспечность приводила (https://www.opennet.ru/opennews/art.shtml?num=41661) 
> к утечк (https://www.opennet.ru/opennews/art.shtml?num=43540)е данных, например данный 
> способ использовался для захвата учётных записей 13 миллионов пользователей программы 
> MacKeeper, то теперь злоумышленники перешли к применению шантажа, надеясь заработать на 
> серверных системах с ненадлежащим резервным копированием (расчёт сделан на то, что 
> проблема будет выявлена администраторами после праздников, а за выходные резервные копии 
> с реальными данными могут быть вытеснены новыми резервными копиями).

> С проблемой уже столкнулось одно из учреждений здравоохранения США, у которого оказался 
> блокирован доступ к 200 тысячам записям пациентов. Всем администраторам MongoDB рекомендуется 
> проверить (https://docs.mongodb.com/manual/administration/security-checklist/) 
> привязку к сетевым интерфейсам, заблокировать внешний доступ к сетевому порту 27017 
>  и включить (https://docs.mongodb.com/manual/tutorial/enable-authentication/) доступ 
> с применением аутентификации (запуск с "--auth" или добавление в настройки "security.authorization"), 
> который не активирован по умолчанию.

> URL: https://www.bleepingcomputer.com/news/security/mongodb-databases-held-for-ransom-by-mysterious-attacker/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=45817

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру