Mokymai

Pavojus MongoDB sistemoms

2017-01-13

CERT-LT įspėja duomenų bazių „MongoDB“ valdytojus apie pavojų jų duomenų saugumui.

„MongoDB“ yra populiari nereliacinė (NoSQL) duomenų bazių valdymo sistema, kuri naudojama saugant didelius duomenų masyvus. Dėl neteisingo konfigūravimo tokios sistemos būna prieinamos iš išorės (iš interneto) ir pažeidžiamos. Tiek saugumo analitikai, tiek piktavaliai turi įrankių, kurie patikrina viso interneto IP adresus, ieškodami nesaugių sistemų. Suradę pažeidžiamas „MongoDB“ duombazes, dažniausiai automatizuotu būdu jas užvaldo - užšifruoja.

Užšifruotose duomenų bazėse, kenkimo kodas palieka pranešimus lentelėse, pavadintose PWNED, PLEASE_READ, LEIA_ME, WARNING. Pranešimuose reikalaujama išpirkos, kurios dydis kinta nuo 0,1 iki 1 bitkoino.

Pastaruoju metu šifravimo atakų skaičius itin išaugo. Sausio 6 d. buvo tik 13 aukų, tačiau sausio 12 d. duomenimis:

1) Pasaulyje įvyko net 28 000 užšifravimo atakų. Dėl šių atakų prarasta kone 100 terabaitų duomenų.

2) Pasaulyje buvo apie 99 000 pažeidžiamų „MongoDB“ sistemų. Lietuvoje jų skaičius svyruoja nuo 50 iki 65 (skaičiuojama pagal unikalius IP adresus).


 

CERT-LT rekomenduoja:

1) Nuolat ir į kelias nepriklausomas laikmenas daryti duomenų atsargines kopijas. Bent viena laikmena turi būti geografiškai nepriklausoma. Ne viena Lietuvos ir užsienio informacijos prieglobos (angl. hosting) įmonė siūlo „backup“ tipo tarnybinių stočių nuomą.

2) Tinkamai sukonfigūruoti savo duombazę: https://www.nksc.lt/rekomendacijos/mongodb.html.

3) Atlikti prevencinius veiksmus, kuriuos aprašo „MongoDB“ kūrėjai: https://www.mongodb.com/blog/post/how-to-avoid-a-malicious-attack-that-ransoms-your-data.

4) Neignoruoti pranešimų apie saugumo pažeidimus, kuriuos gaunate iš savo interneto paslaugų teikėjų (IPT). Visi IPT kiekvieną dieną gauna CERT-LT suformuotą saugumo pažeidimų sąrašą, kurį turi paskirstyti savo klientams.

5) Įvykus duomenų užšifravimui, nemokėti piktavaliams, kadangi nėra jokių garantijų, kad duomenys bus dešifruoti.


 

Daugiau informacijos:

1) http://www.techrepublic.com/article/massive-ransomware-attack-takes-out-27000-mongodb-servers/ (anglų kalba)

2) https://twitter.com/0xDUDE/status/817057481830633472 (anglų kalba)

3) Sukurti dešifravimo įrankiai gali dekoduoti tik mažą dalį duomenų. Ne mažiau kaip 95 proc. tokių kenkimo kodų „priešnuodžių“ nėra. Žr. https://www.nomoreransom.org/.

4) https://www.nksc.lt/naujienos/demesio_plinta_virusai_uzsifruojantys_failus.html.

Visi pranešimai