Hackangriffe auf MongoDB treffen fast 27.000 Datenbanken
Letzte Woche haben drei Hackergruppen Angriffe auf Installationen der NoSQL-Datenbank MongoDB verübt. Aus einer von Sicherheitsforschern angelegten Google-Docs-Tabelle geht hervor, dass nahezu 27.000 Datenbanken erfolgreich gekapert wurden. Demnach gingen 22.500 der Attacken auf das Konto einer Gruppe mit der E-Mail-Adresse cru3lty@safe-mail.net.
Den Hackern geht es um die Erbeutung von Geld. Sie suchen online nach öffentlich erreichbaren MongoDB-Datenbanken, kopieren diese und löschen den Inhalt. Anschließend hinterlassen sie eine Lösegeldforderung samt Bitcoin- und zu kontaktierender E-Mail-Adresse. Die Forderungen reichen in aktuellen Fällen von 0,05 bis 0,2 Bitcoins (umgerechnet in etwa 197 und 790 €)
Laut dem Nachrichten-Portal Bleepingcomputer waren die meisten in der vergangenen Woche angegriffenen Datenbanken Bestandteil von Testsystemen und damit irrelevanten Inhalts. Die Hacker gingen trotzdem nicht komplett leer aus: Der Spreadsheet-Tabelle ist zu entnehmen, dass die “cru3lty”-Gruppe bis zum jetzigen Zeitpunkt insgesamt rund 0,6 Bitcoins, also etwa 2350 €, erbeutet hat. Bleepingcomputer berichtet jedoch, dass auch im Anschluss an die Lösegeldzahlung keine Wiederherstellung der Datenbankinhalte erfolgte. Vielleicht hatten die Angreifer gar keine Sicherungskopie erstellt.
MongoDB-Erpressungen setzen sich fort
Die Sicherheitsforscher Dylan Katz und Victor Gevers entdeckten vergangene Woche die aktuellen Angriffe. Sie sehen sie als Fortsetzung einer Angriffswelle, die bereits Ende Dezember 2016 begann und sich nahezu über das gesamte Jahr erstreckte. Die Gesamtzahl aller in der Tabelle dokumentierten Angriffe auf MongoDB-Datenbanken beläuft sich mittlerweile auf ungefähr 75.700. Dazu kamen im Laufe des Jahres ähnliche Erpresser-Angriffe auf ElasticSearch-, Cassandra-, CouchDB– und Hadoop- sowie MySQL-Installationen.
Offene Datenbanken sind ein altbekanntes Problem
Öffentlich über das Internet erreichbare MongoDB-Datenbanken sind seit Jahren als Problem bekannt. Diese sind meist mit wenig Aufwand mit der Suchmaschine Shodan auffindbar.
Teil des Problems ist, dass viele Admins nach wie vor alte, zum Teil verwundbare Versionen der Datenbank verwenden. Diese sind in der Standardkonfiguration für jedermann über das Internet erreichbar. Admins sollten also sicherstellen, dass sie die aktuelle Version der MongoDB-Datenbanken installiert haben. Zusätzlich sollten sie auch die Sicherheitstipps der Entwickler befolgen, denn oft kommen unsichere Konfigurationen zum Einsatz, bei denen etwa der Port 27017 Verbindungen aus dem Internet zulässt.
Die incoperating als IT-Partner
Falls Sie Fragen zu diesem Thema haben sollten, können Sie sich jederzeit schriftlich oder telefonisch bei uns melden. Die incoperating ist als IT-Systemhaus in München der richtige Ansprechpartner bezüglich IT-Sicherheit, IT-Support, Firewalls und Anti-Viren Software. Außerdem sind wir in den Bereichen Benutzerverwaltung, Cloud-Beratung, Migration und Server-Betrieb mit unserem Leistungsportfolio vertreten. Dank unserer Partnerschaften mit Sophos und Bitdefender können wir Sie schnell und günstig mit hochqualitativen Firewalls und Virenschutzprogrammen versorgen. Mit unseren kostenlosen und unverbindlichen IT-Audits können Sie sich jederzeit ein Bild von uns machen. So lernen Sie die incoperating näher kennen und haben dabei auch die Möglichkeit, die Servicedetails und Vertragsmöglichkeiten zu besprechen und kennenzulernen.
Originalartikel: https://www.heise.de/security/meldung/Hacker-Angriffe-auf-MongoDB-treffen-fast-27-000-Datenbanken-3822955.html