Các máy chủ MongoDB đang trở thành mục tiêu của các cuộc tấn công tống tiền dữ liệu, vì vậy hãy đảm bảo rằng bạn được bảo vệ.

(Nguồn ảnh: Sarayut Thaneerat/ qua Getty Images)

Nếu bạn đang sử dụng MongoDB, bạn nên kiểm tra lại cấu hình của mình, vì các chuyên gia đã cảnh báo rằng tin tặc đang tìm cách tống tiền bạn.

Các nhà nghiên cứu bảo mật của Flare đã báo cáo việc phát hiện hơn 200.000 máy chủ MongoDB cấu ​​hình sai , dữ liệu của chúng có thể bị truy cập bởi bất kỳ ai biết cách tìm kiếm. Khoảng một nửa trong số đó đang để lộ thông tin vận hành, và khoảng 3.000 máy chủ có thể được truy cập mà không cần mật khẩu.

Trong số những máy tính có thể dễ dàng truy cập, ít nhất một nửa đã bị xâm nhập, vì nội dung của chúng đã bị xóa. Một kẻ tấn công giấu tên đã để lại một bức thư đòi tiền chuộc, yêu cầu 0,005 đô la Mỹ bằng bitcoin (tương đương 387 đô la Mỹ tại thời điểm viết bài). Có thể trong số nửa còn lại, nhiều máy tính cũng đã bị xâm nhập nhưng họ đã quyết định trả tiền chuộc và khôi phục dữ liệu của mình.

Làm thế nào để giữ an toàn

Theo báo cáo, kẻ tấn công có năm địa chỉ BTC mà chúng đang sử dụng để nhận tiền, trong đó một địa chỉ hoạt động tích cực nhất.

Chúng ta không biết ví điện tử đó có bao nhiêu giao dịch, hoặc bao nhiêu người đã trả tiền chuộc - hoặc liệu những kẻ tấn công có giữ lại cơ sở dữ liệu đã bị xóa hay chúng chỉ đơn giản là đòi tiền mà không có lý do gì.

Flare cũng cho biết số nạn nhân tiềm năng nhiều hơn nhiều so với 3.000 máy chủ. Rõ ràng, khoảng một nửa (95.000) trong số tất cả các máy chủ được kiểm tra đang chạy các phiên bản MongoDB cũ hơn, dễ bị tổn thương bởi nhiều lỗ hổng đã biết và chưa biết, có thể bị khai thác để truy cập trái phép.

Hầu hết các lỗ hổng bảo mật n-day gây ảnh hưởng đến các phiên bản cũ hơn này có thể được sử dụng để tấn công từ chối dịch vụ (DoS), chứ không phải để đánh cắp dữ liệu hoặc thực thi mã từ xa. Theo nguyên tắc chung, quản trị viên nên đảm bảo các phiên bản MongoDB của họ không được kết nối với internet. Nếu bắt buộc phải kết nối, thì ít nhất quản trị viên cũng nên đảm bảo mật khẩu mạnh, các quy tắc tường lửa và chính sách mạng Kubernetes nghiêm ngặt, và cấu hình không được sao chép từ các hướng dẫn triển khai.