اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

آسیب‌پذیری دیتابیس‌های MongoDB در برابر باج افزارها

در حال حاضر چندین گروه از مهاجمان برای از بین بردنِ هر‌چه بیشتر پایگاه‌های داده MongoDB که در دسترس عموم قرار دارد، به رقابت با یکدیگر می‌پردازند.

اخیرا برخی مهاجمان به تاکتیک جدیدی روی آورده‌اند که با پاک نمودن داده‌های موجود در MongoDB که در دسترس عموم قرار دارد، جهت بازیابی آنها از کاربران درخواست پول می‌نماید. در طول تنها چند روز، شمار پایگاه‌های داده‌ آسیب دیده از چند صد به بیش از 10,000 مورد رسیده است.

مساله نصب MongoDB با پیکربندی نادرست که باعث ایجاد دسترسی برای کاربران اینترنتی به داده‌های حساس می‌شود، مشکل تازه‌ای نبوده و محققان فعال در این حوزه، سال‌هاست که با این پایگاه‌‌های داده باز (Open Database) روبرو می‌باشند؛ اما نکته جالب توجه در رابطه با این دیتابیس‌ها رشد چشمگیر آن‌ها بوده، که بر اساس برآورد‌های اخیر به بیش از 99,000 مورد رسیده است.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

Victor Gevers یکی از محققان حوزه امنیت در Foundation GDI عنوان کرد: حدود 200 مورد از پایگاه‌‌های داده MongoDB قابل دسترس برای عموم را یافته است که اطلاعات آنها پاک شده یا مورد باج‌گیری از سوی یک فرد یا حتی گروهی ازمهاجمان با نام Harak1r1 قرار گرفته‌اند.

مهاجمان طی پیامی به ادمین‌های این پایگاه‌های ‌داده برای بازگرداندن اطلاعات، مبلغی معادل 180 دلار را مطالبه نمودند.

 تعداد پایگاه‌های داده که اطلاعات آن توسط Harak1r1 پاک شده بود، طی یک روز به 2.500 رسید و سپس با گذشت چند روز 8.600 مورد در معرض آسیب قرار گرفته و این پیغام را دریافت نمودند.

به علاوه اینکه مهاجمان دیگری نیز به این طرح پیوستند و محققان دست‌کم پنج گروه از آنها را با پیام‌های مربوط به باج‌افزار‌های مختلف شناسایی نمودند. این گروه‌ها مجموعا 10.500 پایگاه‌داده را پاک نموده و در برخی موارد نیز پیام‌های باج‌خواهی خود را جایگزین پیام‌های یکدیگر کرده بودند.

خبر ناگوار این است که بیشتر این گروه ها قبل از پاک کردن داده‌ها هیچ گونه کپی و پشتیبانی از این اطلاعات تهیه نمی‌کنند، بنابر‌این حتی اگر تصمیم قربانی مبنی بر پرداخت مبلغ درخواستی باشد، به احتمال زیاد امکان باز‌پس‌گیری اطلاعات وجود نخواهد داشت.

وی در ادامه افزود: در حین کمک به برخی از قربانیان، هیچ مدرکی در Logها وجود نداشته است که حاکی از نقل و انتقال غیرمجاز داده‌ها (Exfiltration) باشد. وی به مالکان این پایگاه‌های داده‌ی آسیب دیده توصیه می‌کند که از پرداخت مبالغ درخواستی خودداری نموده و تنها از متخصصان امنیتی درخواست کمک نمایند.

به مدیران پایگاه‌های داده MongoDB پیشنهاد می‌شود که روش‌های ارائه شده در چک ‌لیست‌های امنیتی را به طور دقیق دنبال کرده و از این طریق سد راه ورود مهاجمان به دیتابیس‌های پیاده‌سازی‌شده گردند و همچنین از ایجاد دسترسی‌های غیر‌مجاز نیز جلوگیری نمایند.