Ngày 2/1/2017, các máy chủ sử dụng hệ quản trị cơ sở dữ liệu MongoDB được cảnh báo có thể bị tấn công do cấu hình sai - giúp tin tặc truy cập từ xa mà không cần bất cứ công cụ tấn công đặc biệt nào.
Ngay sau đó, MongoDB đã xử lý sự cố nghiêm trọng này bằng cách phát hành bản cập nhật thay đổi cấu hình mặc định hạn chế truy cập từ xa. Tuy nhiên, hàng nghìn website vẫn chưa được nâng cấp lên phiên bản mới. Tại thời điểm phát hiện, John Matherly, nhà sáng lập máy tìm kiếm Shodan cho biết hơn 200 cuộc tấn công đã xảy ra với số lượng xấp xỉ 2.000 cơ sở dữ liệu.
Ngay sau đó, MongoDB đã xử lý sự cố nghiêm trọng này bằng cách phát hành bản cập nhật thay đổi cấu hình mặc định hạn chế truy cập từ xa. Tuy nhiên, hàng nghìn website vẫn chưa được nâng cấp lên phiên bản mới. Tại thời điểm phát hiện, John Matherly, nhà sáng lập máy tìm kiếm Shodan cho biết hơn 200 cuộc tấn công đã xảy ra với số lượng xấp xỉ 2.000 cơ sở dữ liệu.
Tuy nhiên, chỉ trong 1 tuần, số lượng cơ sở dữ liệu MongoDB bị tống tiền đã tăng lên 27.000. Tin tặc có thể truy cập, sao chép và xóa toàn bộ những cơ sở dữ liệu MongoDB chưa được cập nhật hoặc cấu hình yếu và gửi thư đề nghị quản trị viên trao đổi dữ liệu bằng tiền chuộc.
Ban đầu, tin tặc yêu cầu trả 0.2 Bitcoin (gần 184 USD) cho mỗi cơ sở dữ liệu, nhưng sau đó đã tăng lên 1 Bitcoin (khoảng 906 USD). Các nhà nghiên cứu đã phát hiện 15 tin tặc nhau tham gia tấn công. Trong đó, tin tặc có biệt danh karke0 đã xâm nhập 15.482 cơ sở dữ liệu MongoDB nhưng chưa nạn nhân nào trả tiền chuộc.
Các cuộc tấn công xảy ra do quản trị viên cấu hình MongoDB không sử dụng mật khẩu. Rất nhiều trong số đó có thể được tìm thấy thông qua máy tìm kiếm Shodan.
Dấu hiệu bị tấn công
• Kiểm tra danh sách tài khoản MongoDB xem liệu có một tài khoản mới bí mật được thêm vào hay không.
• Kiểm tra GridFS xem có dữ liệu được lưu trữ bất thường không.
• Kiểm tra log file để biết được những ai đã truy cập vào MongoDB.
Khuyến cáo cách bảo vệ:
• Bật xác thực trong tệp tin cấu hình MongoDB auth = true.
• Sử dụng tường lửa - Vô hiệu hóa truy cập từ xa vào MongoDB. Chặn cổng truy cập 27017 hoặc gán địa chỉ IP nội bộ nhằm hạn chế truy cập đến máy chủ.
• Cập nhật phiên bản mới nhất của MongoDB.