信息化觀察網(wǎng)

據(jù)Intruder發(fā)布的調(diào)查數(shù)據(jù)，數(shù)以萬(wàn)計(jì)的暴露在互聯(lián)網(wǎng)上的MongoDB數(shù)據(jù)庫(kù)面臨攻擊。平均而言，暴露的Mongo數(shù)據(jù)庫(kù)在連接到互聯(lián)網(wǎng)后13個(gè)小時(shí)內(nèi)就會(huì)遭到入侵，最快記錄是在數(shù)據(jù)庫(kù)建立后9分鐘遭受攻擊。

MongoDB是一個(gè)通用的，基于文檔的分布式數(shù)據(jù)庫(kù)，是全球使用率最高的5個(gè)數(shù)據(jù)庫(kù)之一。全球范圍內(nèi)的許多組織都使用MongoDB來(lái)存儲(chǔ)和保護(hù)敏感的應(yīng)用程序和客戶數(shù)據(jù)。

互聯(lián)網(wǎng)上有80,000個(gè)公開(kāi)的MongoDB服務(wù)，其中20,000個(gè)是不安全的。在那些不安全的數(shù)據(jù)庫(kù)中，已經(jīng)有15,000個(gè)被勒索軟件感染。

MongoDB攻擊如何進(jìn)行

在看到MongoDB數(shù)據(jù)庫(kù)接連不斷發(fā)生入侵事件后，Intruder在數(shù)據(jù)庫(kù)中植入了蜜罐，以監(jiān)測(cè)這些攻擊如何實(shí)施、威脅來(lái)自何處以及攻擊事件發(fā)生的速度。

Intruder在網(wǎng)絡(luò)上許多不安全的MongoDB數(shù)據(jù)庫(kù)中植入蜜罐，每個(gè)蜜罐中充斥著假數(shù)據(jù)。監(jiān)視網(wǎng)絡(luò)流量中是否存在惡意活動(dòng)，如果密碼哈希值發(fā)生泄露，則表明數(shù)據(jù)庫(kù)已被破壞。

研究表明，MongoDB暴露于互聯(lián)網(wǎng)時(shí)會(huì)遭受持續(xù)的攻擊。攻擊是自動(dòng)進(jìn)行的，不受干擾，平均而言，不安全的數(shù)據(jù)庫(kù)在上線后不到24小時(shí)就會(huì)受到威脅。

有一個(gè)蜜罐上線后不到一分鐘就被勒索軟件攻擊，攻擊者擦除了數(shù)據(jù)庫(kù)的數(shù)據(jù)表，留下勒索軟件信息，要求用比特幣付款以恢復(fù)數(shù)據(jù)：

攻擊從何而來(lái)？

攻擊起源于全球各地，盡管攻擊者通常會(huì)隱藏其真實(shí)位置，因此通常無(wú)法確定攻擊的真正來(lái)源。最快的漏洞攻擊來(lái)自俄羅斯ISP天網(wǎng)的攻擊者，超過(guò)一半的漏洞源自羅馬尼亞VPS提供商的IP地址。

Intruder首席執(zhí)行官Chris Wallis說(shuō)

記錄的某些活動(dòng)很有可能來(lái)自安全研究人員，他們正在尋找違規(guī)數(shù)據(jù)庫(kù)的數(shù)據(jù)。但是，就公司的安全聲譽(yù)而言，是惡意攻擊者還是安全研究者破壞了數(shù)據(jù)通常并不重要，即使安全團(tuán)隊(duì)可以檢測(cè)到不安全的數(shù)據(jù)庫(kù)并識(shí)別其潛在的嚴(yán)重性，也很難在不到13小時(shí)的時(shí)間內(nèi)響應(yīng)，更不用說(shuō)在9分鐘之內(nèi)了。因此預(yù)防比治療更有效。

MongoDB發(fā)言人對(duì)媒體表示：

MongoDB社區(qū)數(shù)據(jù)庫(kù)是一個(gè)非常受歡迎的產(chǎn)品，全球下載量超過(guò)1億。不幸的是，并非每個(gè)安裝都遵循最佳實(shí)踐，因此，某些配置不正確。幾年前，當(dāng)MongoDB首次意識(shí)到這些問(wèn)題時(shí)，我們進(jìn)行了產(chǎn)品更改，以保護(hù)開(kāi)源社區(qū)產(chǎn)品的默認(rèn)設(shè)置。結(jié)果，我們發(fā)現(xiàn)報(bào)告的暴露數(shù)據(jù)庫(kù)數(shù)量顯著下降。今天，默認(rèn)的MongoDB數(shù)據(jù)庫(kù)設(shè)置具有開(kāi)箱即用的安全默認(rèn)值。