一場屠戮MongoDB的盛宴反思 | 超33000個資料庫遭遇入侵勒索

許多人沒有想到，去年12月一件不起眼的小事，在新年伊始卻演變成了一場屠殺。如今，受害的一方似乎正由於自身的疏忽和遲鈍而顯得愈發無力反抗，一個接一個倒下。

截止本周三（1月11日），已經有20名以上的黑客加入到這場對MongoDB用戶一邊倒的碾壓中來，遭到入侵、勒索的資料庫超過了33，000個，並且這一數字還在不斷上升中。

（源自凱捷諮詢的Niall Merrigan提供的數據）MongoDB是目前包括eBay，紐約時報，LinkedIn在內的全世界多家公司廣泛採用的資料庫。

源於0.2比特幣的勒索

去年12月27日，安全專家兼GDI Foundation聯合創始人Victor Gevers（@0xDUDE）在Twitter上稱由於存在配置漏洞，可不通過任何認證直接訪問某些MongoDB資料庫，而黑客早已盯上了這些目標。

當時，第一波被黑的MongoDB資料庫中，Gevers觀察到數據內容被清空，黑客還留下了一條「WARNING」信息：

「SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !」

意思就是：要求支付0.2比特幣到指定地址用以還原數據。署名「Harak1r1」的黑客（或組織）大肆入侵了MongoDB資料庫，清空裡面的內容並向擁有者索要0.2比特幣（約$211）的贖金，否則數據將不予歸還。

Gevers發現了這次攻擊並隨即在Twitter上警告了MongoDB資料庫用戶。遺憾的是，這份警告並沒有引起MongoDB使用者足夠的重視。而嗅覺敏銳的黑客們卻迅速地圍了上來，盛宴開始。

MongoDB屠戮全面開啟

當時Gevers暫時只統計到了有近200個MongoDB資料庫實例（instance）被黑客入侵當做勒索籌碼。FreeBuf安全快訊對此進行了追蹤報道，在1月3日，這個數字達到了2，000以上。接下來的日子裡，攻擊規模不斷擴大，受害者數量急劇上升。

僅在1月9日早間開始的12小時內，受到黑客勒索的資料庫就從12，000個翻倍達到了27，633之多。

參與其中的黑客數量也增加到至少15人以上，其中一位名為「kraken0」的黑客已經入侵了15，482個MongoDB資料庫並向每位受害者索取了1比特幣（約$921）贖金。

儘管安全專家已經告誡眾多MongoDB資料庫用戶不要向黑客支付贖金（很多黑客並不會如宣稱的那樣保留了數據，多數情況是直接刪掉了），但已知仍有至少22個受害機構或個人繳納了贖金。

之所以會有如此眾多的資料庫實例被這次衝擊迅速收割，主要是因為很多使用者沒有遵照生產環境部署手冊，缺少安全認證，直接將伺服器暴露在公網裡以及版本過於老舊。對於攻擊者而言，使用在線工具就可以較輕鬆地發現存在問題的資料庫。

事實上，黑客還發掘到了另一個商機：他們有人開始販賣用來攻陷資料庫的軟體賺錢。這種工具被稱作「Kraken Mongodb ransomware」，只要價值$200的比特幣就可以買到該程序的C#源碼。

產生如此後果的另一個重要原因是部分使用者安全意識淡薄，反應遲鈍。作為最初發現者的Gevers就曾對SecurityWeek這樣吐槽：

「永遠不要低估某些公司的反應有多麼愚蠢，有些只是移除了勒索信息，還原了數據，卻依舊讓伺服器門戶大開。」

Gevers有所怨言是不無道理的。作為安全專家，他長時間致力於資料庫漏洞探測並會向企業提供風險報告。

然而，他的預警卻被許多公司視而不見，僅在去年一年就有138份相關報告石沉大海。即使他對這波攻擊迅速做出了告警，卻依然收效甚微。

安全組織「ShadowServer」通過AISI（Australian Internet Security Initiative）每天約提供400個MongoDB數據泄漏預警，服務澳洲90%的網路提供商

暗潮湧動

輕視安全問題是要付出代價的。事實上MongoDB資料庫泄漏問題早在2015年就被報導過。

當時Shodan（搜索引擎）的負責人John Matherly統計到有30，000個以上的MongoDB資料庫實例，近600TB的數據暴露於公網之上，無需任何認證就可訪問。

很多版本滯後的資料庫配置文件里沒有做IP捆綁（bind_ip 127.0.0.1），在用戶不甚了解的時候留下了安全隱患。雖然MongoDB的開發團隊在下一個版本里修復了這個問題，但截止事發，仍然有數量眾多的資料庫管理者沒來得及更新。

這次勒索事件的一個顯著後果就是世界範圍內存儲在MongoDB資料庫里數據量的大幅下滑。

據Merrigan提供的信息顯示，在短短3天內就有114.5TB的數據因此消失。據估計，目前網上約有50，000個開放訪問的MongoDB資料庫，也許用不了多久所有沒做好安全措施的資料庫都會被黑客攻陷。

這個過程需要多久？據Gevers估算，這個過程可能用不了幾周。

毫無疑問，黑客們的瘋狂給人們敲響了警鐘。現在應該會有很多人後悔了。

現在補救還來得及

Gevers確認，目前已有來自包括IP，醫療，金融服務，旅遊等行業在內的多家公司就此次攻擊事件求助，但他不願意透露求助企業的名稱。

他建議：有時一個資料庫會被不同的黑客攻擊多次，受害者很有可能把贖金給錯了人，這更是一個無底洞。

因此不僅不要支付贖金，更要想辦法讓攻擊者證明丟失的數據是否還真實存在。Gevers表示，如果有適當的網路監控程序，可以判斷丟失的數據是被轉移了還是被直接刪掉了。不過這樣做需要把出站的數據流量同系統日誌里的訪問記錄做多方面比較才行。

MongoDB官方建議如下：

如何知道自己有沒有受到攻擊：

1. 如果已經為資料庫正確配置了訪問控制，攻擊者應該訪問不到數據，可參考安全手冊（https://docs.mongodb.com/manual/security/）

2. 驗證資料庫和集合。在最近的案例中，攻擊者丟棄了資料庫和/或集合，並用一個ransom需求的新的替換它們。

3. 如果啟用訪問控制，請審核系統日誌以進行未經授權的訪問嘗試或可疑活動。

如果已經受到攻擊：

1. 如果您是MongoDB企業支持客戶，請儘快提交P1訂單，我們的技術服務工程師可以指導您完成以下過程。

2. 您的首要任務是保護您的集群以防止進一步的未授權訪問。您可以參照我們的安全實踐文檔。

3. 通過運行 usersInfo 來檢查是否有添加，刪除或修改的用戶。

4. 檢查日誌以查找攻擊的時間。檢查是否有刪庫或者刪表，修改用戶或創建贖金記錄的命令。

5. 如果你有定期對受損資料庫進行備份，則可以還原最近的備份。您需要評估最近的備份和攻擊時間之間可能已更改的數據量。如果您使用Ops Manager或Cloud Manager進行備份，則可以恢復到攻擊之前的時間點。

6. 如果您沒有備份或以其他方式無法還原數據，那麼您的數據可能會永久丟失。

7. 您應該假設攻擊者已經複製了受影響的資料庫的所有數據。請按照內部安全流程對數據泄露事件進行恰當處理。

8. 最後，請參閱我們的安全最佳做法和資源，以便將來保護您的數據。

如何防範此類攻擊？

1. 做好訪問認證。打開你的MongoDB配置文件（.conf），設置為auth=true

2. 做好防火牆設置。建議管理者關閉27017埠的訪問。

3. Bind_ip，綁定內網IP訪問。

4. 做好升級。請管理者務必將軟體升級到最新版本。

* 參考來源：

SecurityWeek

, FB小編cxt編譯，轉載請註明來自FreeBuf.COM