Ransomware na MongoDB bola len otázka času

Myslím, že už viac ako rok beží diskusia okolo zabezpečenia databázového enginu MongoDB. Ono vlastne ani nie je o čom veľa diskutovať – po inštalácii je celý systém otvorený do sveta a nijako nechránený. Má to na svedomí taký ten hipsterský trend moderných aplikácii – pripoj sa a hneď používaj.

Myslím, že aj keď prebehlo veľa osvety na túto tému tak stav je stále dosť mizerný. Stále sa dá nájsť množstvo nezabezpečených inštalácii – stačí na to jednoduchý scan na defaultnom porte 27017. Prípadne je možné pozrieť si to napríklad cez Shodan a dozviete sa, že na

• Amazone ich beží viac ako 4 tisíc
• DigitalOcean viac ako 3 tisíc
• celkovo len v Spojených štátoch 14 tisíc

Takže bolo naozaj len otázkou času kedy sa to rozhodne niekto zneužiť. Ide o ransomware - zatiaľ neznámy útočník vám „zabezpečí“ takýto otvorený systém a následne požaduje 0,2 bitcoinu ako výkupne za obnovenie prístupu k dátam. Ak nemáte dobrú zálohu a dáta potrebujete tak máte naozaj problém.

{
    "_id" : ObjectId("5859a0370b8e49f123fcc7da"),
    "mail" : "harak1r1@sigaint.org",
    "note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !"
}

Je to dosť dobrá ukážka toho, že nemusí ísť o kritickú bezpečnostnú chybu (napr. Zero-Day Vulnerability), ale ignorovanie bezpečnostných pravidiel. Pritom práve MongoDB má dosť pekne spracovaný Security Checklist
.