Cơ sở dữ liệu MongoDB có thể bị tấn công do cấu hình sai

Các máy chủ sử dụng hệ quản trị cơ sở dữ liệu MongoDB có thể bị tấn công do cấu hình sai – giúp tin tặc truy cập từ xa mà không cần bất cứ công cụ tấn công đặc biệt nào.

MongoDB đã xử lý sự cố trong phiên bản cập nhật bằng cách cấu hình mặc định hạn chế truy cập từ xa. Nhưng hàng ngàn website vẫn chưa nâng cấp lên phiên bản mới. Theo kịch bản tấn công mới, tin tặc sẽ truy cập và xóa toàn bộ cơ sở dữ liệu MongoDB, chúng giữ một bản sao và yêu cầu quản trị viên tiền chuộc với giá 0.2 Bitcoin (gần 221 USD).

John Matherly, nhà sáng lập máy tìm kiếm Shodan cho biết hơn 2o0 cuộc tấn công xảy ra với số lượng xấp xỉ 2,000 cơ sở dữ liệu. Các cuộc tấn công đã diễn ra hơn một tuần nhắm tới máy chủ trên khắp thế giới. Thay vì mã hóa dữ liệu, hacker sẽ chạy một đoạn script thay thế nội dụng cơ sở dữ liệu bằng tin nhắn đòi tiền chuộc.

Dấu hiệu bị tấn công

  • Kiểm tra danh sách tài khoản MongoDB xem liệu có một tài khoản mới bí mật được thêm vào hay không.
  • Kiểm tra GridFS xem có ai đó lưu trữ bất kì dữ liệu nào vào đây hay không.
  • Kiểm tra log file để biết được những ai đã truy cập vào MongoDB.

Biện pháp bảo vệ

  • Bật xác thực . Thay đổi file cấu hình MongoDB — auth = true.
  • Sử dụng tường lửa – Vô hiệu hóa truy cập từ xa vào MongoDB (chặn cổng 27017).
  • Cấu hình Bind_ip — Giới hạn truy cập vào máy chủ bằng cách chỉ cho phép địa chỉ IP cục bộ.
  • Nâng cấp — Quản trị viên được khuyến cáo nâng cấp lên phiên bản mongoDB mới nhất.

MongoDB là một hệ quản trị NoSQL mã nguồn mở được sử dụng rất nhiều tổ chức trên thế giới như eBay,  Sourceforge,The New York Times và LinkedIn. Quản trị viên nên theo dõi hướng dẫn an toàn do MongoDB cung cấp tại đây.

THN

Bình luận

Từ khóa: