攻擊者已經發現很多MongoDB配置存在缺陷，而這為勒索攻擊打開了大門。

安全研究人員兼微軟開發人員Niall Merrigan一直在追蹤MongoDB勒索攻擊事件，有一天，他突然看到攻擊次數從12000增加到27633。與勒索軟件攻擊不同，其中數據被加密，在這種攻擊中，攻擊者可訪問數據庫、復制文件、刪除所有內容并留下勒索字條——承諾在收到贖金后歸還數據。

“這里的問題在于，人們通常會快速設置好數據庫，并開始構建應用，而沒有適當的安全考慮，”Merrigan稱，“在很多情況下，他們并不知道他們必須設置身份驗證，而在默認情況下并沒有啟用。”

獨立安全研究人員Victor Gevers稱，MongoDB配置中糟糕的身份驗證政策是允許攻擊者訪問數據庫的主要缺陷。

“這些錯誤配置允許(任何人)持有完全的管理權限來訪問數據庫，而無需身份驗證，”Gevers稱，“因此，這是數據庫所有者的責任，他們沒有為面向互聯網的系統正確配置數據，當你啟動漏洞掃描器時就能發現這些漏洞，這并不是多么困難的事情。”

Fidelis Cybersecurity公司威脅系統經理John Bambenek稱：“主要的問題是，人們在配置面向互聯網的服務時，并沒有真正試圖保護和維護它們。”

“在很多時候，企業開發工作的重點是快速完成，而不是確保事物在沒有身份驗證的情況下不被訪問，”Bambenek稱，“在這種情況下，很多這些MongoDB數據庫是通過安裝器來安裝，而沒有為管理員賬號設置密碼，這讓所有人都可以訪問數據庫。”

ERPScan公司高級業務應用安全研究人員Vahagn Vardanyan表示，攻擊者在這些攻擊中并沒有使用任何零日漏洞。

“在默認情況下，MongoDB安裝后并不需要身份驗證就可連接，”Vardanyan表示，“數據庫管理員沒有對其進行安全地配置，讓攻擊者有機可乘。”

Gevers證實MongoDB中存在已知漏洞，不過尚沒有跡象表明所調查的攻擊中使用了任何漏洞。

“在這種情況下，所有攻擊者的攻擊做法幾乎相同。他們試圖通過MongoDB復制該數據庫，然后刪除數據庫，創建新的數據庫，并留下勒索信息，最后在他們退出之前清除日志，”Gevers稱，“由于日志保持不變，我們可以從攻擊發起的時候提取相同的攻擊模式和IP地址。并沒有其他證據表明攻擊者已經通過創建管理員用戶部署了持續后門程序或者shell。”

根據Merrigan和Gevers表示，面臨安全風險的MongoDB數量很難預計。通過Shodan.io，Merrigan稱大約有5200臺服務器可訪問互聯網而沒有啟用身份驗證。而Gevers通過搜索Shodan得出的數據約為4800臺，但根據ZoomEye的數據顯示，可能有高達99000個糟糕的MongoDB配置。

威脅情報平臺提供商Anomali公司首席威脅研究人員Aaron Shelmire稱，企業擁有糟糕的MongoDB配置太常見了。

“每兩年就會出現新的技術堆棧，該行業似乎花了很多時間來重新學習舊教訓。但由于簡單的安全問題而導致這么多安全事故，這真的非常令人驚訝，”Shelmire稱，“對于企業來說，確保安全性的最佳方法是限制這些服務對公司VPN背后主機的訪問，定期備份這些數據存儲可減少受影響系統的影響。

”Merrigan稱備份可幫助恢復“業務連續性”，但建議為MongoDB配置設置更好的身份驗證政策。

“應使用最低權限概念，不要嘗試鎖定它;查看MongoDB指南來強化系統，特別是面向互聯網的系統，當連接到互聯網時，應假設每個人都在試圖訪問你的系統。”