พบการโจมตีแบบใหม่ มุ่งเป้ายึด MongoDB และขโมยข้อมูลออกไปเพื่อเรียกค่าไถ่

Victor Gevers ผู้ร่วมก่อตั้งของ GDI Foundation ได้ออกมาเปิดเผยถึงกรณีการที่มีผู้ร้ายชื่อ Harak1r1 ได้ทำการโจมตี MongoDB ที่ไม่ได้ถูกตั้งค่าให้ทำงานอย่างปลอดภัยบน Internet ก่อนจะทำการสับเปลี่ยนข้อมูลภายใน MongoDB และเรียกค่าไถ่เจ้าของฐานข้อมูลนั้น

การโจมตีลักษณะนี้เกิดขึ้นได้เมื่อมีผู้ที่พัฒนาระบบด้วย MongoDB แต่ไม่ได้ทำการตั้งค่าความปลอดภัยให้ดี เช่น เปิดให้มีการเชื่อมต่อเข้าไปได้จากภายนอกโดยไม่ต้องใช้รหัสผ่าน หรือกรณีอื่นๆ จนทำให้ Harak1r1 นี้สามารถทำการโจมตีและเข้ายึดฐานข้อมูลเหล่านั้น แล้วจึงทำการ Copy ข้อมูลทั้งหมดออกมาเก็บไว้ ก่อนจะทำการลบข้อมูลเหล่านั้นทิ้ง แล้วสร้างฐานข้อมูลใหม่พร้อมตั้งชื่อให้เสร็จสรรพว่า WARNING อีกทั้งยังทิ้งข้อมูลเอาไว้ภายในฐานข้อมูลว่า จะต้องโอน Bitcoin ไปที่ใดจึงจะคืนข้อมูลทั้งหมดให้

Gevers ได้ให้คำแนะนำเบื้องต้นว่าสิ่งที่เหล่าผู้ใช้ MongoDB ควรทำมีดังนี้

  • ตั้งกฎบน Firewall ภายใน Server ของ MongoDB ให้ Block Port 27017 จากภายนอก และตั้งค่าให้รับการเชื่อมต่อได้จากระบบภายในเท่านั้น
  • ตั้งค่า Username และ Password สำหรับใช้ในการเข้าถึงข้อมูลภายในฐานข้อมูลให้ดี
  • หมั่นตรวจสอบ Account ภายใน MongoDB ว่าถูกสร้าง Admin หรือ User ที่เราไม่รู้จักขึ้นมาหรือไม่
  • หมั่นตรวจสอบใน GridFS ว่ามีใครนำไฟล์ที่ไม่พึงประสงค์มาวางเอาไว้หรือเปล่า
  • หมั่นตรวจสอบใน Log ดูว่ามีใครพยายามเข้าถึง MongoDB หรือไม่

การโจมตีแบบนี้มีความคล้ายคลึงกับ Ransomware ตรงที่มีการยึดข้อมูลของผู้ถูกโจมตีเอาไว้เป็นตัวประกัน แต่วิธีการที่ใช้นั้นถือว่ายังแตกต่างกันค่อนข้างมาก ซึ่งประเด็นเหล่านี้ก็ถือว่าน่าสนใจไม่น้อยและเหล่านักพัฒนา Software ทั้งหลายก็ควรหันมาใส่ใจในประเด็นทางด้านความปลอดภัยกันมากขึ้นได้แล้ว

ที่มา: http://www.infosecurity-magazine.com/news/attacker-hijacks-mongodb-databases/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Azure DNS สนับสนุน CAA record และ IPv6 Nameservers แล้ว

Azure ได้ออกมาประกาศสนับสนุน DNS Features ที่สามารถรองรับการใช้งาน CAA Record และ IPv6 Nameserver ได้แล้ว

เตือนช่องโหว่ RSA Implementation บน F5 Big-IP เสี่ยงถูกดักฟังข้อมูลที่เข้ารหัส

F5 Networks ผู้นำด้านเทคโนโลยี Application Delivery Networking ออกมาแจ้งเตือนถึงช่องโหว่ RSA Implementation บน F5 Big-IP ซึ่งช่วยให้แฮ็คเกอร์สามารถดักฟังข้อมูลที่ถูกเข้ารหัสหรือโจมตีแบบ Man-in-the-Middle โดยไม่จำเป็นต้องทราบ …