Anzahl entführter MongoDB-Datenbanken steigt rasant

Die Angriffe auf nicht sicher konfigurierte MongoDB-Datenbanken reißen nicht ab und nehmen sogar noch zu, warnen verschiedene Sicherheitsforscher gegenüber Bleepingcomputer.com. Derzeit sollen über 28.000 Server attackiert worden sein.

Anfang vergangener Woche berichtete der Sicherheitsforscher Victor Gevers, dass ein Angreifer mit dem Pseudonym Harak1r1 öffentlich zugängliche MongoDB-Datenbanken leert und von den Opfern Lösegeld fordert, wenn diese wieder Zugriff auf ihre Daten haben wollen. Das soll zu diesem Zeitpunkt rund 1800 mal passiert sein.

Offensichtlich lukratives Geschäft

Mittlerweile sollen zwölf Gruppen in die Übergriffe involviert sein. Darunter auch eine professionelle Erpresser-Gruppe namens Kraken. Die Anzahl der Übergriffe steigt rasant an, berichten Gevers und der Sicherheitsforscher Niall Merrigan.

Mittlerweile soll die Kraken-Gruppe 16.000 Datenbanken gekapert haben, was rund 56 Prozent dieser Angriffe ausmacht. Das soll ihnen bisher über 6000 US-Dollar an Lösegeld eingebracht haben.

Wer sich auf eine Lösegeldzahlung einlässt, sollte einen Beweis von den Kriminellen einfodern, dass diese die Daten auch wirklich besitzen.

Offene Datenbanken sind altbekanntes Problem

Öffentlich über das Internet erreichbare MongoDB-Datenbanken sind seit Jahren ein bekanntes Problem. Wer es drauf anlegt, kann sie mit vergleichsweise wenig Aufwand über die Suchmaschine Shodan finden.

Das Problem ist, dass viele Admins noch alte, zum Teil verwundbare Versionen der Datenbank verwenden. Diese sind in der Standardkonfiguration für jedermann über das Internet erreichbar. Admins sollten also sicherstellen, dass sie die aktuelle Version der MongoDB-Datenbank installiert haben.

Zusätzlich sollten sie auch die Sicherheitstipps der Entwickler befolgen, denn oft kommen unsichere Konfigurationen zum Einsatz, bei denen etwa der Port 27017 Verbindungen aus dem Internet zulässt. (des)