信息化觀察網(wǎng)

據(jù)Intruder發(fā)布的調(diào)查數(shù)據(jù)，數(shù)以萬計(jì)的暴露在互聯(lián)網(wǎng)上的MongoDB數(shù)據(jù)庫面臨攻擊。平均而言，暴露的Mongo數(shù)據(jù)庫在連接到互聯(lián)網(wǎng)后13個小時(shí)內(nèi)就會遭到入侵，最快記錄是在數(shù)據(jù)庫建立后9分鐘遭受攻擊。

MongoDB是一個通用的，基于文檔的分布式數(shù)據(jù)庫，是全球使用率最高的5個數(shù)據(jù)庫之一。全球范圍內(nèi)的許多組織都使用MongoDB來存儲和保護(hù)敏感的應(yīng)用程序和客戶數(shù)據(jù)。

互聯(lián)網(wǎng)上有80,000個公開的MongoDB服務(wù)，其中20,000個是不安全的。在那些不安全的數(shù)據(jù)庫中，已經(jīng)有15,000個被勒索軟件感染。

MongoDB攻擊如何進(jìn)行

在看到MongoDB數(shù)據(jù)庫接連不斷發(fā)生入侵事件后，Intruder在數(shù)據(jù)庫中植入了蜜罐，以監(jiān)測這些攻擊如何實(shí)施、威脅來自何處以及攻擊事件發(fā)生的速度。

Intruder在網(wǎng)絡(luò)上許多不安全的MongoDB數(shù)據(jù)庫中植入蜜罐，每個蜜罐中充斥著假數(shù)據(jù)。監(jiān)視網(wǎng)絡(luò)流量中是否存在惡意活動，如果密碼哈希值發(fā)生泄露，則表明數(shù)據(jù)庫已被破壞。

研究表明，MongoDB暴露于互聯(lián)網(wǎng)時(shí)會遭受持續(xù)的攻擊。攻擊是自動進(jìn)行的，不受干擾，平均而言，不安全的數(shù)據(jù)庫在上線后不到24小時(shí)就會受到威脅。

有一個蜜罐上線后不到一分鐘就被勒索軟件攻擊，攻擊者擦除了數(shù)據(jù)庫的數(shù)據(jù)表，留下勒索軟件信息，要求用比特幣付款以恢復(fù)數(shù)據(jù)：

攻擊從何而來？

攻擊起源于全球各地，盡管攻擊者通常會隱藏其真實(shí)位置，因此通常無法確定攻擊的真正來源。最快的漏洞攻擊來自俄羅斯ISP天網(wǎng)的攻擊者，超過一半的漏洞源自羅馬尼亞VPS提供商的IP地址。

Intruder首席執(zhí)行官Chris Wallis說

記錄的某些活動很有可能來自安全研究人員，他們正在尋找違規(guī)數(shù)據(jù)庫的數(shù)據(jù)。但是，就公司的安全聲譽(yù)而言，是惡意攻擊者還是安全研究者破壞了數(shù)據(jù)通常并不重要，即使安全團(tuán)隊(duì)可以檢測到不安全的數(shù)據(jù)庫并識別其潛在的嚴(yán)重性，也很難在不到13小時(shí)的時(shí)間內(nèi)響應(yīng)，更不用說在9分鐘之內(nèi)了。因此預(yù)防比治療更有效。

MongoDB發(fā)言人對媒體表示：

MongoDB社區(qū)數(shù)據(jù)庫是一個非常受歡迎的產(chǎn)品，全球下載量超過1億。不幸的是，并非每個安裝都遵循最佳實(shí)踐，因此，某些配置不正確。幾年前，當(dāng)MongoDB首次意識到這些問題時(shí)，我們進(jìn)行了產(chǎn)品更改，以保護(hù)開源社區(qū)產(chǎn)品的默認(rèn)設(shè)置。結(jié)果，我們發(fā)現(xiàn)報(bào)告的暴露數(shù)據(jù)庫數(shù)量顯著下降。今天，默認(rèn)的MongoDB數(shù)據(jù)庫設(shè)置具有開箱即用的安全默認(rèn)值。