พบการโจมตีแบบใหม่ มุ่งเป้ายึด MongoDB และขโมยข้อมูลออกไปเพื่อเรียกค่าไถ่

Victor Gevers ผู้ร่วมก่อตั้งของ GDI Foundation ได้ออกมาเปิดเผยถึงกรณีการที่มีผู้ร้ายชื่อ Harak1r1 ได้ทำการโจมตี MongoDB ที่ไม่ได้ถูกตั้งค่าให้ทำงานอย่างปลอดภัยบน Internet ก่อนจะทำการสับเปลี่ยนข้อมูลภายใน MongoDB และเรียกค่าไถ่เจ้าของฐานข้อมูลนั้น

การโจมตีลักษณะนี้เกิดขึ้นได้เมื่อมีผู้ที่พัฒนาระบบด้วย MongoDB แต่ไม่ได้ทำการตั้งค่าความปลอดภัยให้ดี เช่น เปิดให้มีการเชื่อมต่อเข้าไปได้จากภายนอกโดยไม่ต้องใช้รหัสผ่าน หรือกรณีอื่นๆ จนทำให้ Harak1r1 นี้สามารถทำการโจมตีและเข้ายึดฐานข้อมูลเหล่านั้น แล้วจึงทำการ Copy ข้อมูลทั้งหมดออกมาเก็บไว้ ก่อนจะทำการลบข้อมูลเหล่านั้นทิ้ง แล้วสร้างฐานข้อมูลใหม่พร้อมตั้งชื่อให้เสร็จสรรพว่า WARNING อีกทั้งยังทิ้งข้อมูลเอาไว้ภายในฐานข้อมูลว่า จะต้องโอน Bitcoin ไปที่ใดจึงจะคืนข้อมูลทั้งหมดให้

Gevers ได้ให้คำแนะนำเบื้องต้นว่าสิ่งที่เหล่าผู้ใช้ MongoDB ควรทำมีดังนี้

• ตั้งกฎบน Firewall ภายใน Server ของ MongoDB ให้ Block Port 27017 จากภายนอก และตั้งค่าให้รับการเชื่อมต่อได้จากระบบภายในเท่านั้น
• ตั้งค่า Username และ Password สำหรับใช้ในการเข้าถึงข้อมูลภายในฐานข้อมูลให้ดี
• หมั่นตรวจสอบ Account ภายใน MongoDB ว่าถูกสร้าง Admin หรือ User ที่เราไม่รู้จักขึ้นมาหรือไม่
• หมั่นตรวจสอบใน GridFS ว่ามีใครนำไฟล์ที่ไม่พึงประสงค์มาวางเอาไว้หรือเปล่า
• หมั่นตรวจสอบใน Log ดูว่ามีใครพยายามเข้าถึง MongoDB หรือไม่

การโจมตีแบบนี้มีความคล้ายคลึงกับ Ransomware ตรงที่มีการยึดข้อมูลของผู้ถูกโจมตีเอาไว้เป็นตัวประกัน แต่วิธีการที่ใช้นั้นถือว่ายังแตกต่างกันค่อนข้างมาก ซึ่งประเด็นเหล่านี้ก็ถือว่าน่าสนใจไม่น้อยและเหล่านักพัฒนา Software ทั้งหลายก็ควรหันมาใส่ใจในประเด็นทางด้านความปลอดภัยกันมากขึ้นได้แล้ว

ที่มา: http://www.infosecurity-magazine.com/news/attacker-hijacks-mongodb-databases/