Sicurezza MongoDB: proteggere e proteggere il database MongoDB da Ransomware

Ransomware ha recentemente colpito alcune installazioni di MongoDB non protette e ha tenuto i dati in ostaggio. Qui vedremo cosa è MongoDB e daremo un`occhiata ad alcuni passi che puoi fare per proteggere e proteggere il database MongoDB. Per cominciare, ecco una breve introduzione su MongoDB.

Che cos`è MongoDB

MongoDB è un database open source che memorizza i dati utilizzando un modello di dati di documento flessibile. MongoDB differisce dai database tradizionali che sono costruiti usando tabelle e righe, mentre MongoDB usa un`architettura di collezioni e documenti.

Seguendo una progettazione di uno schema dinamico, MongoDB consente ai documenti di una raccolta di avere campi e strutture diversi. Il database utilizza un archivio di documenti e un formato di scambio dati chiamato BSON, che fornisce una rappresentazione binaria di documenti simili a JSON. Questo rende l`integrazione dei dati per alcuni tipi di applicazioni più veloce e più facile.

Il ransomware attacca i dati MongoDB

Recentemente, Victor Gevers, un ricercatore della sicurezza ha twittato che c`era una serie di attacchi Ransomware su installazioni MongoDB poco sicure. Gli attacchi sono iniziati lo scorso dicembre verso Natale 2016 e da allora hanno infettato migliaia di server MongoDB.

Inizialmente, Victor ha scoperto 200 installazioni di MongoDB che sono state attaccate e detenute per ottenere un riscatto. Tuttavia, presto le installazioni infette sono salite a 2000 DB come riportato da un altro ricercatore di sicurezza, il fondatore di Shodan John Matherly, e alla fine della 1 ^st settimana del 2017, il numero dei sistemi compromessi era superiore a 27.000.

Richiesta di riscatto

I primi rapporti suggerivano che gli attaccanti chiedevano 0,2 Bitcoin (circa 184 USD) come riscatto pagato da 22 vittime. Attualmente, gli aggressori hanno aumentato l`importo del riscatto e ora richiedono 1 Bitcoin (circa 906 USD).

Dalla divulgazione, i ricercatori della sicurezza hanno identificato più di 15 hacker coinvolti nel dirottamento dei server MongoDB. Tra questi, un utente malintenzionato che utilizza l`handle di posta elettronica kraken0 ha ha compromesso più di 15.482 server MongoDB e richiede 1 Bitcoin per restituire i dati persi.

Fino ad ora, i server MongoDB dirottati sono cresciuti oltre 28.000 come sempre più hacker fanno lo stesso: accesso, copia ed eliminazione di database mal configurati per Ransom. Inoltre, anche Kraken, un gruppo che è stato precedentemente coinvolto nella distribuzione di Windows Ransomware.

Come fa il MongoDB Ransomware ad infiltrarsi tra

I server MongoDB che sono accessibili via internet senza una password sono stati i quelli che sono presi di mira dagli hacker. Quindi, gli amministratori dei server che hanno scelto di eseguire i loro server senza una password e hanno utilizzato nomi utente predefiniti sono stati facilmente individuati dagli hacker.

Cosa c`è di peggio, ci sono istanze dello stesso server re-hackerato da diversi gruppi di hacker che hanno sostituito le note di riscatto esistenti con le proprie, rendendo impossibile per le vittime sapere se stanno pagando il criminale giusto, figuriamoci se i loro dati possono essere recuperati. Pertanto, non vi è alcuna certezza se uno qualsiasi dei dati rubati verrà restituito. Quindi, anche se hai pagato il riscatto, i tuoi dati potrebbero essere persi.

Sicurezza MongoDB

È necessario che gli amministratori del server debbano assegnare una password e un nome utente forti per accedere al database. Le aziende che utilizzano l`installazione predefinita di MongoDB sono anche avvisate di aggiornare il loro software , impostare l`autenticazione e bloccare la porta 27017 che è stata più bersagliata dagli hacker.

Passi per proteggere i dati MongoDB

1. Applicare controllo accessi e autenticazione

Inizia abilitando il controllo di accesso del server e specificare il meccanismo di autenticazione. l`autenticazione richiede che tutti gli utenti forniscano credenziali valide prima che possano connettersi al server.

l`ultima versione MongoDB 3.4 consente di configurare l`autenticazione su un sistema non protetto senza incorrere in tempi di inattività.

1. Impostazione controllo di accesso basato sui ruoli

Invece di fornire accesso completo a un insieme di utenti, creare ruoli che definire l`accesso esatto a un gruppo di esigenze degli utenti. Seguire un principio di privilegio minimo. Quindi crea gli utenti e assegna loro solo i ruoli necessari per eseguire le loro operazioni.

1. Encrypt Communication

I dati crittografati sono difficili da interpretare e non molti hacker sono in grado di decrittografarli correttamente. Configura MongoDB per utilizzare TLS / SSL per tutte le connessioni in entrata e in uscita. Utilizzare TLS / SSL per crittografare le comunicazioni tra i componenti mongod e mongos di un client MongoDB e tra tutte le applicazioni e MongoDB.

Utilizzando MongoDB Enterprise 3.2, la crittografia nativa di WiredTiger del motore di archiviazione può essere configurata per crittografare i dati nell`archivio strato. Se non si utilizza la crittografia di WiredTiger a riposo, i dati MongoDB devono essere crittografati su ciascun host utilizzando il sistema di file, il dispositivo o la crittografia fisica.

1. Limita l`esposizione di rete

Per limitare l`esposizione di rete assicurarsi che MongoDB funzioni in una rete attendibile ambiente. Gli amministratori dovrebbero consentire solo ai client fidati di accedere alle interfacce di rete e alle porte su cui sono disponibili le istanze di MongoDB.

1. Backup dei dati

MongoDB Cloud Manager e MongoDB Ops Manager forniscono backup continui con ripristino puntuale e gli utenti possono abilitare gli avvisi in Cloud Manager per rilevare se la loro implementazione è esposta su Internet

1. Audit System Activity

I sistemi di controllo periodicamente assicureranno di essere a conoscenza di eventuali modifiche irregolari al database. Traccia l`accesso alle configurazioni e ai dati del database. MongoDB Enterprise include una funzione di controllo del sistema in grado di registrare eventi di sistema su un`istanza MongoDB.

1. Eseguire MongoDB con un utente dedicato

Eseguire i processi MongoDB con un account utente del sistema operativo dedicato. Assicurati che l`account abbia le autorizzazioni per accedere ai dati ma non le autorizzazioni non necessarie.

1. Esegui MongoDB con le opzioni di configurazione sicura

MongoDB supporta l`esecuzione del codice JavaScript per determinate operazioni lato server: mapReduce, group e $ where. Se non si utilizzano queste operazioni, disabilitare lo scripting lato server utilizzando l`opzione -noscripting sulla riga di comando.

Utilizzare solo il protocollo del filo MongoDB sulle distribuzioni di produzione. Mantieni abilitata la convalida dell`input. MongoDB abilita la convalida dell`input per impostazione predefinita tramite l`impostazione wireObjectCheck. Ciò garantisce che tutti i documenti memorizzati dall`istanza mongod siano BSON validi.

1. Richiedi una guida tecnica di implementazione della sicurezza (ove applicabile)

La Guida tecnica all`implementazione della sicurezza (STIG) contiene le linee guida sulla sicurezza per gli schieramenti all`interno del Dipartimento della Difesa degli Stati Uniti. MongoDB Inc. fornisce il suo STIG, su richiesta, per le situazioni in cui è richiesto. È possibile richiedere una copia per ulteriori informazioni.

1. Considerare la conformità agli standard di sicurezza

Per le applicazioni che richiedono la conformità HIPAA o PCI-DSS, fare riferimento all`architettura di riferimento di sicurezza MongoDB qui per ulteriori informazioni su come è possibile utilizzare le principali funzionalità di sicurezza per creare un`infrastruttura applicativa conforme.

Come scoprire se l`installazione di MongoDB è compromessa

• Verificare i database e le raccolte. Gli hacker di solito abbandonano database e raccolte e li sostituiscono con uno nuovo chiedendo un riscatto per l`originale
• Se il controllo accessi è abilitato, controlla i log di sistema per scoprire tentativi di accesso non autorizzati o attività sospette. Cerca i comandi che hanno cancellato i tuoi dati, modificato gli utenti o creato il record di richiesta di riscatto.

Fai attenzione che non è garantito che i tuoi dati saranno restituiti anche dopo aver pagato il riscatto. Quindi, dopo l`attacco, la tua prima priorità dovrebbe essere quella di proteggere i tuoi cluster per prevenire ulteriori accessi non autorizzati.

Se fai dei backup, allora al momento di ripristinare la versione più recente, puoi valutare quali dati potrebbero essere cambiati da il backup più recente e il tempo dell`attacco. Per ulteriori informazioni, è possibile visitare mongodb.com .