นักวิจัยยืนยันว่าผู้โจมตีกำลังกำหนดเป้าหมาย MongoDB instances ที่เปิดเผยสู่สาธารณะอย่างแข็งขันในการรณรงค์แรนซัมแวร์อัตโนมัติ การโจมตีดำเนินการโดยการสแกนหาฐานข้อมูล MongoDB ที่ไม่มีการรักษาความปลอดภัยซึ่งเข้าถึงได้จากอินเทอร์เน็ตสาธารณะ ลบข้อมูลที่จัดเก็บไว้ และแทรกข้อความเรียกค่าไถ่เป็น Bitcoin การรณรงค์เหล่านี้ยังคงสร้างผลกำไรสูง แม้ว่าค่าไถ่จะอยู่ที่ประมาณ 500 ถึง 600 ดอลลาร์สหรัฐฯ ต่อเหยื่อ การวิเคราะห์พบว่าประมาณ 45.6% ของ MongoDB instances ที่เปิดเผยอย่างสมบูรณ์มีข้อความเรียกค่าไถ่อยู่แล้ว และกว่า 98% ของการชำระเงินค่าไถ่ถูกส่งไปยังกระเป๋า Bitcoin เดียวกัน บ่งชี้ถึงกิจกรรมที่ประสานงานกัน โดยมีเซิร์ฟเวอร์ MongoDB กว่า 200,000 แห่งที่เข้าถึงได้จากสาธารณะ และประมาณ 3,100 แห่งที่ไม่มีการควบคุมการเข้าถึง
Severity: สูง
System Impact:
- MongoDB instances ที่เปิดเผยสู่สาธารณะโดยไม่มีการตรวจสอบสิทธิ์ (unauthenticated)
- Docker images และการกำหนดค่าโครงสร้างพื้นฐานที่ผูก MongoDB กับอินเทอร์เฟซเครือข่ายทั้งหมด (0.0.0.0) โดยค่าเริ่มต้น
- ฐานข้อมูลที่ถูกลบและถูกเข้ารหัสด้วยแรนซัมแวร์
Technical Attack Steps:
- ผู้โจมตีใช้เครื่องมือสแกนอัตโนมัติเพื่อระบุบริการ MongoDB ที่เปิดเผยบนพอร์ต 27017 โดยไม่มีการตรวจสอบสิทธิ์
- เมื่อเข้าถึงได้แล้ว ผู้โจมตีจะส่งออกหรือแจกแจงเนื้อหาฐานข้อมูลเพื่อประเมินมูลค่า
- Collections และฐานข้อมูลจะถูกลบหรือล้างทั้งหมดอย่างเป็นระบบ
- หลังจากนั้น ข้อความเรียกค่าไถ่จะถูกแทรกเข้าไปใน MongoDB instance โดยเรียกร้องให้ชำระเงินด้วย Bitcoin ภายในระยะเวลาที่กำหนด (โดยทั่วไปคือ 48 ชั่วโมง) มิฉะนั้นข้อมูลจะถูกลบอย่างถาวร
Recommendations:
Short Term:
- ตรวจสอบการปรับใช้ MongoDB ทันทีเพื่อระบุการเปิดเผยสู่สาธารณะใดๆ
- จำกัด MongoDB ให้อยู่ในเครือข่ายส่วนตัวเท่านั้น
- บังคับใช้การตรวจสอบสิทธิ์ SCRAM พร้อมการควบคุมการเข้าถึงตามบทบาท (role-based access control)
- ใช้กฎไฟร์วอลล์เพื่อบล็อกการเข้าถึงสาธารณะบนพอร์ต 27017
Long Term:
- แทนที่ Docker images เริ่มต้นด้วยการกำหนดค่าที่แข็งแกร่งและปลอดภัย
- ดำเนินการตรวจสอบการเปิดเผยอย่างต่อเนื่องด้วยเครื่องมือต่างๆ เช่น Shodan Monitor และแพลตฟอร์มการจัดการความปลอดภัยของคลาวด์ (cloud security posture management platforms)
- จัดลำดับความสำคัญของการแบ่งส่วนเครือข่าย (network segmentation)
- บังคับใช้การตรวจสอบสิทธิ์ทันทีเพื่อกำจัดช่องทางการโจมตีที่ยังคงมีอยู่
Source: https://cybersecuritynews.com/mongodb-instances-hacked/
Share this content: