無須身份驗證的開放式MongoDB數據庫實例正在遭受多個黑客組織的攻擊，被攻破的數據庫內容會被加密，受害者必須支付贖金才能找回自己的數據。

攻擊者利用配置存在疏漏的開源MongoDB數據庫展開了一系列勒索行為。此番針對MongoDB的勒索行為最早是由GDI Foundation的安全研究人員Victor Gevers在2016年12月27日發現的，在這之后影響陸續擴大，目前至少有五個不同黑客組織控制了上萬個數據庫實例。

截至目前，最后一個加入此次MongoDB勒索行動的黑客組織是由安全研究人員Nial Merrigan在1月6日發現的。目前，MongoDB攻擊者的身份信息只有用于支付贖金的電子郵件地址，最新加入的黑客組織所用的郵件地址為[email protected]，該地址已攻陷至少17個MongoDB實例，要求受害者支付0.25個比特幣才能找回數據。

目前在Google Docs上有一個列表，其中列出了參與此次攻擊的黑客組織名單，具體數量還在增加中。攻擊者所要求支付的金額各異，最低僅0.15個比特幣，但也有高達1個比特幣的贖金。2017年至今，比特幣的價值上下波動，截止1月6日，具體金額約等于892美元。

此次針對MongoDB的攻擊非常簡單，利用了配置有誤且可公開訪問的數據庫，無須具備相應的管理員憑據即可展開攻擊。一旦攻擊者登錄到開放的數據庫，隨后會全面奪取控制權并竊取或加密數據庫，被勒索的受害者必須支付贖金才能找回自己的數據。

很多MongoDB數據庫處于開放狀態，這種情況早已存在。2015年12月，安全研究人員Chris Vickery就曾使用Shodan搜索工具找到了很多端口開放的MongoDB服務器。當時Vickery甚至找到了一個被Mac OS X工具軟件MacKeeper的開發者Kromtech使用的，配置存在疏漏的MongoDB數據庫。

Shodan的創始人John Matherly跟進了Vickery的研究結果，并在2015年12月稱，當時互聯網上共有至少35,000個可公開訪問，無須身份驗證的MongoDB實例，一年過去了，直到2017年1月，開放式MongoDB數據庫的數量不降反增，估計目前共有多達99,000個數據庫處于風險中。

作為應對此次MongoDB安全隱患的有效措施，數據庫管理員需要參考MongoDB網站上提供的安全清單進行排查。首先需要“啟用訪問控制并強制進行身份驗證”。

安全研究人員對eWEEK表示，MongoDB被攻擊者進行勒索完全在意料之中。

“考慮到MongoDB的流行度以及在生產環境中的普及率，以開源的數據庫作為目標并不會讓人驚訝。”Dome9共同創始人兼首席執行官Zohar Alon向eWEEK說到：“通常來說，數據庫部署過程中的配置疏漏和疏忽就會導致可被攻擊者利用的弱點。”

Alon還補充說，用戶的人為錯誤與不夠強的安全意識也會威脅到云環境中運行的工作負載。他建議在使用開源數據庫等第三方軟件之前，用戶應該自學相關知識，掌握最佳實踐和已知弱點等內容。

“有趣的是，大部分人認為數據庫是足夠安全的，因為可以受到防火墻和數據中心的保護，”Jean-Fran ois Dubé首席技術官RiskVision告訴eWEEK：“問題在于攻擊者依然可以通過消費者所用的端點和第三方連接訪問這些服務器并獲取信息。”

Dubé建議總的來說，應當定期對數據庫進行風險評估。

“使用風險評估工具對數據庫進行近乎實時監視的企業，會在加密后的數據離開數據庫時更清楚地發現這一切，”他說。

Mimecast公司網絡安全戰略師Matthew Gardiner評論說，此次MongoDB被攻擊完全沒有讓他感到意外。

“一處開放的，無須身份驗證的，存有寶貴數據的系統，或其他任何重要的系統，被互聯網將規模放大上千倍后，最大的問題在于：攻擊者為什么等到現在才開始下手？”Gardiner說。

Sean Michael Kerner是eWEEK和InternetNews.com的資深編輯，你可以在Twitter關注他：@TechJournalist。

查看英文原文：MongoDB Ransomware Impacts Over 10,000 Databases