سوءاستفاده هکرها از MongoDBهای بدون ایمن‌سازی برای پاک‌سازی داده‌ها و اخاذی

هکرها با سوءاستفاده از نمونه‌های MongoDB که بدون ایمن‌سازی رها شده‌اند، داده‌ها را پاک می‌کنند و سپس درخواست باج می‌دهند.

بیش از ۱۴۰۰ سرور MongoDB که در معرض اینترنت بوده‌اند توسط هکرها تصرف و به‌طور کامل پاک‌سازی شده‌اند؛ مهاجمان پس از بهره‌برداری از کنترل‌های دسترسی ضعیف یا فاقد احراز هویت، یادداشت‌های باج‌خواهی به‌جا گذاشته‌اند. شرکت امنیت سایبری Flare گزارش می‌دهد که پایگاه‌های داده MongoDB بدون ایمن‌سازی همچنان اهداف آسانی هستند؛ به‌طوری که از میان ۳۱۰۰ سرور در معرض اینترنت، ۱۴۱۶ مورد دچار compromise شده‌اند. هکرها داده‌ها را پاک کرده و یادداشت‌های باج‌خواهی گذاشته‌اند که معمولاً ۵۰۰ دلار به بیت‌کوین طلب می‌کند و اغلب از یک کیف‌پول مشترک استفاده می‌شود. هرچند بیش از ۲۰۰ هزار سرور MongoDB به‌صورت عمومی قابل مشاهده‌اند، اما بزرگ‌ترین ریسک مربوط به آن‌هایی است که بدون کنترل‌های دسترسی مناسب آنلاین مانده‌اند.

در گزارش منتشرشده توسط Flare آمده است: «تحلیل ما نشان داد بیش از ۲۰۰ هزار سرور که MongoDB اجرا می‌کردند به‌صورت عمومی قابل کشف بودند. از این میان، کمی بیش از ۱۰۰ هزار نمونه اطلاعات عملیاتی را افشا می‌کردند و ۳۱۰۰ سرور بدون هیچ محدودیت دسترسی به‌طور کامل در اینترنت در معرض بودند. در میان این ۳۱۰۰ سرور کاملاً در معرض، ۱۴۱۶ نمونه (۴۵.۶٪) پیش‌تر compromise شده بودند؛ پایگاه‌های داده آن‌ها پاک و با یک یادداشت باج‌خواهی جایگزین شده بود. در تقریباً همه موارد، مبلغ باج حدود ۵۰۰ دلار آمریکا به بیت‌کوین بود.»

این پژوهشگر اشاره می‌کند که تقریباً در همه موارد، همان آدرس بیت‌کوین در یادداشت‌های باج دیده می‌شود که به یک مهاجم واحد اشاره دارد. Flare می‌گوید برخی سرورهای ظاهراً سالم ممکن است پرداخت کرده باشند و بنابراین درآمد احتمالی بین ۰ تا ۸۴۲ هزار دلار برآورد می‌شود.

در گزارش آمده است: «نکته قابل توجه این است که در کل رخدادها فقط پنج کیف‌پول بیت‌کوین متمایز مشاهده شد و کیف‌پول bc1qe2l4ffmsqfdu43d7n76hp2ksmhclt5g9krx3du در بیش از ۹۸٪ موارد ظاهر شده است. این موضوع به‌شدت نشان می‌دهد فعالیت‌ها به یک بازیگر غالب واحد نسبت داده می‌شود؛ احتمالاً همان مهاجمی که در پژوهش‌های قبلی ما درباره دارک‌وب مستندسازی شده بود.»

پژوهشگران مشاهده کردند بیش از ۹۵ هزار سرور حداقل یک آسیب‌پذیری دارند، اما اغلب این نقص‌ها فقط امکان denial-of-service را فراهم می‌کنند. ریسک واقعی از misconfiguration ناشی می‌شود؛ جایی که هزاران پایگاه داده بدون کنترل‌های دسترسی مناسب آنلاین رها شده‌اند.

گزارش جمع‌بندی می‌کند: «در حالی که در حال حاضر هیچ آسیب‌پذیری شناخته‌شده‌ی pre-authentication remote code execution (RCE) در MongoDB وجود ندارد و یافته‌های ما نشان می‌دهد MongoDB به‌طور گسترده در سطح آسیب‌پذیری‌ها مورد سوءاستفاده قرار نگرفته است، ریسک همچنان قابل توجه است. یک zero-day از نوع pre-auth RCE در MongoDB می‌تواند فوراً صدها هزار سرور را در معرض قرار دهد و عملاً یک ماشین اخاذیِ روغن‌کاری‌شده و عظیم در اختیار مهاجمان بگذارد. به همین دلیل، قویاً توصیه می‌کنیم بهترین رویه‌های پیشگیری و hardening مطرح‌شده را اعمال کنید؛ زیرا همچنان misconfiguration نه exploitation عامل توانمندسازِ بحرانی است.»