کمیته رکن چهارم – یک عامل تهدید سایبری با سوءاستفاده از پیکربندیهای ناامن، پایگاههای داده MongoDB را بهصورت خودکار هدف حملات اخاذی قرار داده است.
به گزارش کمیته رکن چهارم- بررسیهای شرکت امنیت سایبری Flare نشان میدهد مهاجمان در حال شناسایی و نفوذ به نمونههای MongoDB هستند که بدون احراز هویت و بهصورت عمومی در اینترنت در دسترس قرار دارند. در این حملات، دادههای پایگاه داده بهطور کامل پاک شده و یادداشت باجگیریای بهجا گذاشته میشود که معمولاً درخواست پرداخت حدود ۰٫۰۰۵ بیتکوین (۵۰۰ تا ۶۰۰ دلار) ظرف ۴۸ ساعت برای «بازیابی دادهها» دارد.
بر اساس این گزارش، تاکنون حدود ۱٬۴۰۰ سرور قربانی این حملات شدهاند. Flare در جریان یک تست نفوذ گسترده، بیش از ۲۰۸ هزار سرور MongoDB در معرض اینترنت را شناسایی کرده که از میان آنها ۳٬۱۰۰ سرور کاملاً بدون احراز هویت قابل دسترسی بودهاند. نکته نگرانکننده این است که نزدیک به ۴۶٪ از این سرورهای بدون محدودیت، پیشتر مورد نفوذ قرار گرفته بودند.
تحلیل یادداشتهای باجگیری نشان میدهد تقریباً تمام حملات به چند آدرس محدود بیتکوین ختم میشود و در ۹۸٪ موارد یک کیف پول مشخص تکرار شده است؛ موضوعی که احتمال فعالیت یک مهاجم واحد یا یک گروه کوچک را تقویت میکند. Flare هشدار داده که پرداخت باج هیچ تضمینی برای بازگشت دادهها ایجاد نمیکند و در بسیاری از موارد مهاجمان اصلاً نسخهای از دادهها در اختیار ندارند.
پژوهشگران همچنین اعلام کردهاند حدود ۹۵ هزار سرور MongoDB در معرض اینترنت از نسخههای قدیمی استفاده میکنند که در برابر آسیبپذیریهای n-day آسیبپذیر هستند؛ هرچند اغلب این ضعفها بیشتر به اختلال سرویس منجر میشود تا اجرای کد از راه دور.
Flare به مدیران سیستم توصیه کرده است:
MongoDB را بدون ضرورت در اینترنت منتشر نکنند
احراز هویت قوی و محدودیتهای شبکهای را فعال کنند
پایگاههای داده را بهطور مستمر پایش و بهروز نگه دارند
و در صورت شناسایی افشا، فوراً گذرواژهها را تغییر داده و لاگها را بررسی کنند
این گزارش بار دیگر نشان میدهد که پیکربندی نادرست و سهلانگاریهای پایهای امنیتی همچنان یکی از سادهترین و سودآورترین اهداف برای مهاجمان سایبری است.
