В Сети зафиксирована (https://medium.com/@mbromileyDFIR/its-10pm-do-you-know-...) новая атака на серверы с СУБД MongoDB, доступные без аутентификации Выявлено (https://twitter.com/achillean/status/816385533538631680) около 2000 поражённых систем, на которых имеющиеся данные были удалены, а в БД добавлена таблица "WARNING_ALERT", содержащая запись с требованием выплатить 0.2 или 0.5 Bitcoin ($200 или $550) за восстановление информации (в сообщении утверждается, что данные зашифрованы, но на деле они просто удалены (https://twitter.com/0xDUDE/status/816798596997726209)). Среди поражённых оказались конфигурации MongoDB, доступные для сетевых соединений извне и не использующие аутентификацию доступа. Подобная особенность связана с тем, что до версии 3.0 в MongoDB по умолчанию предлагались настройки, подразумевающие присоединение ко всем сетевым интерфейсам без включения аутентификации. В MongoDB 3.0 по умолчанию была осуществлена привязка к localhost, но многие системы, обновившиеся с MongoDB 2.x, сохранили прежние настройки в конфигурации, а привязка к внешним сетевым интерфейсам осталась незамеченной. Например, до сих пор остаётся открыта (https://twitter.com/0xDUDE/status/815293674011693056/photo/1) база одного из крупных операторов сотовой связи c данными о звонках абонентов, содержащая более 853 миллиардов записей.
Если раньше подобная беспечность приводила (https://www.opennet.ru/opennews/art.shtml?num=41661) к утечк (https://www.opennet.ru/opennews/art.shtml?num=43540)е данных, например данный способ использовался для захвата учётных записей 13 миллионов пользователей программы MacKeeper, то теперь злоумышленники перешли к применению шантажа, надеясь заработать на серверных системах с ненадлежащим резервным копированием (расчёт сделан на то, что проблема будет выявлена администраторами после праздников, а за выходные резервные копии с реальными данными могут быть вытеснены новыми резервными копиями).
С проблемой уже столкнулось одно из учреждений здравоохранения США, у которого оказался блокирован доступ к 200 тысячам записям пациентов. Всем администраторам MongoDB рекомендуется проверить (https://docs.mongodb.com/manual/administration/security-chec.../) привязку к сетевым интерфейсам, заблокировать внешний доступ к сетевому порту 27017 и включить (https://docs.mongodb.com/manual/tutorial/enable-authentication/) доступ с применением аутентификации (запуск с "--auth" или добавление в настройки "security.authorization"), который не активирован по умолчанию.
URL: https://www.bleepingcomputer.com/news/security/mongodb-datab.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=45817