Recentemente il ransomware ha colpito alcune installazioni non garantite di MongoDB e ha tenuto i dati in ostaggio. Qui vedremo cos'è MongoDB e dare un'occhiata ad alcuni passaggi che è possibile adottare per proteggere e proteggere il database MongoDB. Per cominciare, ecco una breve introduzione su MongoDB.
Cos'è MongoDB
MongoDB è un database open source che memorizza i dati utilizzando un modello di dati di documento flessibile. MongoDB differisce dai database tradizionali che sono costruiti usando tabelle e righe, mentre MongoDB usa un'architettura di collezioni e documenti.
Seguendo una progettazione dinamica dello schema, MongoDB consente ai documenti di una raccolta di avere campi e strutture diversi. Il database utilizza un archivio di documenti e un formato di scambio dati chiamato BSON, che fornisce una rappresentazione binaria di documenti simili a JSON. Ciò rende l'integrazione dei dati per determinati tipi di applicazioni più veloce e più semplice.
Il ransomware attacca i dati MongoDB
Recentemente, Victor Gevers, un ricercatore della sicurezza ha twittato che c'era una serie di attacchi Ransomware su installazioni MongoDB poco sicure. Gli attacchi sono iniziati lo scorso dicembre verso Natale 2016 e da allora hanno infettato migliaia di server MongoDB.
Inizialmente, Victor scoprì 200 installazioni di MongoDB che furono attaccate e detenute per ottenere un riscatto. Tuttavia, presto le installazioni infette sono salite a 2000 DB come riportato da un altro ricercatore di sicurezza, il fondatore di Shodan John Matherly, e alla fine del 1st settimana del 2017, il numero dei sistemi compromessi era superiore a 27.000.
Chiesto un riscatto
I primi rapporti suggerivano che gli attaccanti chiedevano 0,2 Bitcoin (circa 184 USD) come riscatto pagato da 22 vittime. Attualmente, gli aggressori hanno aumentato l'importo del riscatto e ora richiedono 1 Bitcoin (circa 906 USD).
Dalla divulgazione, i ricercatori della sicurezza hanno identificato più di 15 hacker coinvolti nel dirottamento dei server MongoDB. Tra questi, un utente malintenzionato che utilizza l'handle della posta elettronica kraken0 ha ha compromesso più di 15.482 server MongoDB e richiede 1 Bitcoin per restituire i dati persi.
Come si avvicina il MongoDB Ransomware
I server MongoDB accessibili via internet senza password sono quelli che vengono presi di mira dagli hacker. Quindi, amministratori del server che hanno scelto di eseguire i loro server senza password e impiegato nomi utente predefiniti sono stati facilmente individuati dagli hacker.
Ciò che è peggio, ci sono istanze dello stesso server re-hackerato da diversi gruppi di hacker che ha sostituito le note di riscatto esistenti con le proprie, rendendo impossibile per le vittime sapere se stanno pagando anche il criminale giusto, figuriamoci se i loro dati possono essere recuperati. Pertanto, non vi è alcuna certezza se uno qualsiasi dei dati rubati verrà restituito. Quindi, anche se hai pagato il riscatto, i tuoi dati potrebbero essere persi.
Sicurezza MongoDB
È necessario che gli amministratori del server debbano assegnare una password e un nome utente sicuri per accedere al database. Si consiglia inoltre alle aziende che utilizzano l'installazione predefinita di MongoDB aggiorna il loro software, imposta l'autenticazione e bloccare la porta 27017 che è stato maggiormente preso di mira dagli hacker.
Passos per proteggere i tuoi dati MongoDB
Applicare il controllo di accesso e l'autenticazione
Iniziare Abilitando il controllo di accesso del server e specificare il meccanismo di autenticazione. L'autenticazione richiede che tutti gli utenti forniscano credenziali valide prima che possano connettersi al server.
L'ultimo MongoDB 3.4 release consente di configurare l'autenticazione su un sistema non protetto senza incorrere in tempi di inattività.
Imposta il controllo degli accessi basato sui ruoli
Anziché fornire un accesso completo a un gruppo di utenti, creare ruoli che definiscano l'accesso esatto necessario a un gruppo di utenti. Seguire un principio di privilegio minimo. Quindi creare utenti e assegnare loro solo i ruoli di cui hanno bisogno per eseguire le loro operazioni.
Criptare la comunicazione
I dati crittografati sono difficili da interpretare e non molti hacker sono in grado di decrittografarli correttamente. Configura MongoDB per utilizzare TLS / SSL per tutte le connessioni in entrata e in uscita. Utilizzare TLS / SSL per crittografare le comunicazioni tra i componenti mongod e mongos di un client MongoDB e tra tutte le applicazioni e MongoDB.
Utilizzando MongoDB Enterprise 3.2, la crittografia nativa su Resto del motore di archiviazione WiredTiger può essere configurata per crittografare i dati nel livello di archiviazione. Se non si utilizza la crittografia di WiredTiger a riposo, i dati MongoDB devono essere crittografati su ciascun host utilizzando il sistema di file, il dispositivo o la crittografia fisica.
Limita l'esposizione alla rete
Per limitare l'esposizione in rete assicurarsi che MongoDB funzioni in un ambiente di rete fidato. Gli amministratori dovrebbero consentire solo ai client fidati di accedere alle interfacce di rete e alle porte sulle quali sono disponibili le istanze di MongoDB.
Effettua il backup dei tuoi dati
MongoDB Cloud Manager e MongoDB Ops Manager forniscono backup continui con ripristino puntuale e gli utenti possono abilitare gli avvisi in Cloud Manager per rilevare se la loro implementazione è esposta a Internet
Audit System Activity
I sistemi di controllo periodicamente garantiranno la conoscenza di eventuali modifiche irregolari al database. Traccia l'accesso alle configurazioni e ai dati del database.MongoDB Enterprise include una funzione di controllo del sistema in grado di registrare eventi di sistema su un'istanza MongoDB.
Esegui MongoDB con un utente dedicato
Esegui i processi MongoDB con un account utente del sistema operativo dedicato. Assicurarsi che l'account disponga delle autorizzazioni per accedere ai dati ma non autorizzazioni non necessarie.
Esegui MongoDB con le opzioni di configurazione sicura
MongoDB supporta l'esecuzione del codice JavaScript per determinate operazioni sul lato server: mapReduce, group e $ where. Se non si utilizzano queste operazioni, disabilitare lo scripting lato server utilizzando l'opzione -noscripting sulla riga di comando.
Utilizzare solo il protocollo del filo MongoDB sulle distribuzioni di produzione. Mantieni abilitata la convalida dell'input. MongoDB abilita la convalida dell'input per impostazione predefinita tramite l'impostazione wireObjectCheck. Ciò garantisce che tutti i documenti memorizzati dall'istanza mongod siano BSON validi.
Richiedi una guida tecnica di implementazione della sicurezza (se applicabile)
La Guida tecnica di implementazione della sicurezza (STIG) contiene le linee guida sulla sicurezza per gli schieramenti all'interno del Dipartimento della Difesa degli Stati Uniti. MongoDB Inc. fornisce il suo STIG, su richiesta, per le situazioni in cui è richiesto. È possibile richiedere una copia per ulteriori informazioni.
Considerare la conformità agli standard di sicurezza
Per le applicazioni che richiedono la conformità HIPAA o PCI-DSS, fare riferimento all'architettura di riferimento di sicurezza MongoDB Qui per ulteriori informazioni su come utilizzare le funzionalità di sicurezza principali per creare un'infrastruttura applicativa conforme.
Come scoprire se l'installazione di MongoDB è stata compromessa
- Verifica i tuoi database e collezioni. Solitamente gli hacker scaricano database e raccolte e li sostituiscono con uno nuovo chiedendo un riscatto per l'originale
- Se il controllo degli accessi è abilitato, controlla i log di sistema per scoprire tentativi di accesso non autorizzati o attività sospette. Cerca comandi che hanno cancellato i tuoi dati, modificati utenti o creato il record di richiesta di riscatto.
Si noti che non vi è alcuna garanzia che i dati vengano restituiti anche dopo aver pagato il riscatto. Quindi, dopo l'attacco, la prima priorità dovrebbe essere quella di proteggere il / i cluster / i per impedire ulteriori accessi non autorizzati.
Se si eseguono i backup, al momento del ripristino della versione più recente, è possibile valutare quali dati potrebbero essere modificati dal backup più recente e dal momento dell'attacco. Per di più, si può visitare mongodb.com.
