Vlog


Sleduj ma


Twitter


Ransomware na MongoDB bola len otázka času

Myslím, že už viac ako rok beží diskusia okolo zabezpečenia databázového enginu MongoDB. Ono vlastne ani nie je o čom veľa diskutovať – po inštalácii je celý systém otvorený do sveta a nijako nechránený. Má to na svedomí taký ten hipsterský trend moderných aplikácii – pripoj sa a hneď používaj.

Myslím, že aj keď prebehlo veľa osvety na túto tému tak stav je stále dosť mizerný. Stále sa dá nájsť množstvo nezabezpečených inštalácii – stačí na to jednoduchý scan na defaultnom porte 27017. Prípadne je možné pozrieť si to napríklad cez Shodan a dozviete sa, že na

Takže bolo naozaj len otázkou času kedy sa to rozhodne niekto zneužiť. Ide o ransomware - zatiaľ neznámy útočník vám „zabezpečí“ takýto otvorený systém a následne požaduje 0,2 bitcoinu ako výkupne za obnovenie prístupu k dátam. Ak nemáte dobrú zálohu a dáta potrebujete tak máte naozaj problém.

{
    "_id" : ObjectId("5859a0370b8e49f123fcc7da"),
    "mail" : "harak1r1@sigaint.org",
    "note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !"
}

Je to dosť dobrá ukážka toho, že nemusí ísť o kritickú bezpečnostnú chybu (napr. Zero-Day Vulnerability), ale ignorovanie bezpečnostných pravidiel. Pritom práve MongoDB má dosť pekne spracovaný Security Checklist
.


Mohli by vás zaujímať aj tieto články

Weekly #34 - kernel 4.20, OrbitDB, K8s, Project Mu, vianočné tipy pre Bash

Technológie 2019 Open Source Database Trends & Predictions Bye bye Mongo, Hello Postgres OrbitDB is a serverless, distributed, peer-to-peer databa

Weekly #28 - Angular vs. React vs. Vue, Helm, Microsoft hotfix, MongoDB

Technológie Microsoft's Hotfix service is no longer available Researchers discover seven new Meltdown and Spectre attacks Meet the Raspberry Pi 3 Mode

Weekly #27 - Oracle 18c, monitoring, EKS, UX, serverless

Technológie MongoDB security tips The Dark Side of MongoDB’s New License Oracle Database 18c XE now available! The differing definitions of “serverles

Publikované 06.01.2017
TOPlist TOPlist