0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Как превратить свой бизнес в благотворительный фонд для хакеров? Краткая «инструкция» по настройке MongoDB

MongoDB Ассаф Мораг Flare Shodan даркнет контейнеры вымогательство
Как превратить свой бизнес в благотворительный фонд для хакеров? Краткая «инструкция» по настройке MongoDB
MongoDB Ассаф Мораг Flare Shodan даркнет контейнеры вымогательство

Тихая мелочь, о которой все забывают, может превратить ваши данные в чужой трофей.

image

Проблема вымогательских атак на базы данных MongoDB никуда не исчезла, несмотря на спад публичных дискуссий в последние годы. Новое исследование от специалистов Flare показывает, что кампания по заражению и шантажу продолжается и сегодня, опираясь не на сложные уязвимости, а на массовые ошибки в настройках инфраструктуры.

В основе схемы лежит простой механизм. В сеть попадают экземпляры MongoDB, развёрнутые без аутентификации и с открытым доступом из интернета. Злоумышленники автоматически находят такие базы, копируют или удаляют данные и оставляют сообщение с требованием перевести выкуп в криптовалюте. После этого организации зачастую теряют информацию навсегда, даже если соглашаются на оплату.

Поводом для нового анализа стал реальный аудит инфраструктуры компании среднего бизнеса, где были обнаружены открытые экземпляры MongoDB с записками о выкупе. После этого команда развернула приманку в виде специально открытых баз данных в разных регионах мира и всего за несколько дней зафиксировала их компрометацию. Параллельно был проведён анализ открытых источников, форумов и даркнета, где обнаружились подробные инструкции по таким атакам, рассчитанные даже на людей без технической подготовки.

Отдельное внимание уделялось распространению небезопасных конфигураций через готовые контейнерные образы и примеры кода. Исследование показало, что сотни контейнеров в публичных репозиториях содержат настройки, позволяющие подключаться к MongoDB с любого IP-адреса без пароля. В сочетании с пробросом портов это превращает удобную конфигурацию для разработки в полностью открытую базу данных в интернете.

Анализ глобального интернет-пространства выявил более 200 тыс. серверов с доступной MongoDB. Около 3,1 тыс. из них оказались полностью открытыми, и почти половина уже была скомпрометирована с заменой данных на требования о выкупе. Почти все атаки были связаны с одними и теми же криптокошельками, что указывает на одного доминирующего оператора кампании. Потенциальный доход от таких атак может исчисляться сотнями тысяч долларов.

Авторы отчёта подчёркивают, что основной риск обусловлен не эксплуатацией уязвимостей, а ошибками конфигурации. Именно они превращают MongoDB в лёгкую добычу и делают такие атаки масштабируемыми и дешёвыми. По их оценке, пока в экосистеме сохраняются практики копирования готовых настроек и развёртывания сервисов без базовых мер защиты, кампания по вымогательству будет продолжаться, оставаясь стабильным источником дохода для злоумышленников и серьёзной угрозой для бизнеса.