9月5日,國家網絡與信息平安信息通報中心發布預警通報,稱作為全球最流行Nosql數據庫之一的MongoDB數據庫再次遭到黑客勒索攻擊.

據外媒報道：黑客團伙劫持了MongoDB逾 26000 多臺服務器,其中規模最大的一組超過 22000 臺.

據國家網絡與信息平安信息通報中心監測發現,近期國內外部分重要行業和部門發生了針對MongoDB數據庫的勒索事件.國家網絡與信息平安信息通報中心要求各地迅速排查,一旦發現勒索事件及時上報.

“MongoDB啟示錄”再臨?

此次攻擊由平安專家Dylan Katz和Victor Gevers發現,被他們稱為是“MongoDB啟示錄”的延續.所謂的“MongoDB啟示錄”事件始于 2016 年 12 月底,并持續到 2017 年的頭幾個月.

據悉,有多個黑客組織參與了此次攻擊,他們劫持服務器后,用勒索程序替換了其中的正常內容.外媒稱,大多數被攻破的數據庫都在使用測試系統,其中一部分可能包含重要生產數據.

這些黑客組織利用MongoDB數據庫未授權訪問漏洞,劫持服務器后批量對存在漏洞的數據庫進行“刪庫”操作并留下聯系方式,以此勒索用戶支付贖金.

針對上述情況,國家網絡與信息平安信息通報中心建議采取以下防范措施：

修改數據庫默認端口或將數據庫部署在內網環境中,將MongoDB數據庫默認端口(TCP 27017)修改為其他端口；開啟MongoDB數據庫訪問授權；使用SSL加密功能；使用“--blind_ip”選項,限制監聽接口IP；開啟數據庫日志審計功能,記錄所有數據庫操作；及時做好重要數據備份工作.

三個新的黑客團伙浮出水面

平安專家們使用Google Docs電子表格追蹤了本次攻擊,總計超過 45000 多個數據庫被攻破(有可能更多).其實除了MongoDB以外,另外幾個著名的數據庫也并未幸免,ElasticSearch、Hadoop、CouchDB、Cassandra和MySQL的服務器也都曾遭到過劫持.

今年春夏之交,曾喧囂一時的攻擊團伙逐漸消聲遺跡,被劫持的服務器數量也呈下降趨勢.可就在上周,新出現的三個黑客組織再次發難,平安專家們通過贖金票據定位了他們的電子郵箱.

攻擊者數量減少,但危害不降反升

這次攻擊事件的發現者Victor Gevers在采訪中提到：

雖然攻擊者的數量有所減少,但每次攻擊的破壞性卻在逐步上升(被劫持的服務器數量只高不低).現在我們得仔細研究研究了,到底是技能缺失還是平安意識不足?為什么數據庫系統會持續在老舊版本運行?還是說存在哪些尚未被我們發現的潛伏漏洞?

Gevers還表示,他必須引進一批外部專家來協助分析MongoDB問題.

內容整理于FreeBuf、網信浙江、國家網絡與信息平安信息通報中心