- 20万台超のMongoDBサーバーが誤設定、3,000台はパスワードなしで露出
- ハッカーがデータベースを消去し、ビットコイン支払いを要求する身代金メモを残した
- 多くのサーバーが古いバージョンを稼働しており、DoSや永続的アクセスに脆弱
MongoDBインスタンスを運用しているなら、設定を改めて確認したほうがよいかもしれません。専門家によれば、ハッカーが金銭目的で恐喝しようとしているとのことです。
セキュリティ研究者のFlareは、誤設定されたMongoDBの報告として、20万台を超えるMongoDBサーバーが見つかり、場所さえ分かれば誰でもデータにアクセスできる状態だとしています。そのうち約半数は運用情報を露出しており、約3,000台はパスワードなしでアクセス可能です。
容易にアクセスできるもののうち、少なくとも半数はすでに侵入されていたとみられます。というのも、内容が消去されていたためです。名前不明の脅威アクターが身代金メモを残し、ビットコインで0.005BTC(記事執筆時点で387ドル)を要求しました。残りの半数についても、多くが侵害されていた可能性がありますが、身代金を支払ってデータを復元したのかもしれません。
安全を保つ方法
脅威アクターは資金受け取りに5つのBTCアドレスを使用していると報告されており、そのうち1つが最も活発です。
そのウォレットに取引が何件あるのか、何人が身代金要求に応じて支払ったのかは分かっていません。また、攻撃者が消去したデータベースを保持しているのか、それとも何も返さないまま支払いだけを求めているのかも不明です。
Flareは、潜在的な被害者は3,000台のサーバーをはるかに上回るとも述べています。調査したインスタンス全体の約半数(95,000)が古いMongoDBバージョンを実行しており、既知・未知のさまざまな欠陥に脆弱で、永続的アクセスのために悪用される可能性もあるとのことです。
ただし、これらの古いバージョンを悩ませるn-day脆弱性の多くは、データの持ち出しやリモートコード実行ではなく、サービス拒否(DoS)に利用されるものです。一般的な目安として、管理者はMongoDBインスタンスをインターネットに露出させないようにすべきです。やむを得ず露出させる場合でも、少なくともパスワードを強固にし、ファイアウォールルールとKubernetesのネットワークポリシーを厳格にし、デプロイガイドから設定をそのままコピーしないようにしてください。
