Ransomware a récemment frappé certaines installations non sécurisées de MongoDB et a ramené les données en rançon. Ici nous verrons ce qui est MongoDB et jetez un coup d'œil aux étapes à suivre pour sécuriser et protéger la base de données MongoDB. Pour commencer, voici une brève introduction à propos de MongoDB.
Qu'est-ce que MongoDB?
MongoDB est une base de données open source qui stocke des données à l'aide d'un modèle de données de document flexible. MongoDB diffère des bases de données traditionnelles construites à l'aide de tables et de lignes, alors que MongoDB utilise une architecture de collections et de documents.
Suivant une conception de schéma dynamique, MongoDB permet aux documents d’une collection d’avoir différentes structures et champs. La base de données utilise un format de stockage de documents et d'échange de données appelé BSON, qui fournit une représentation binaire des documents de type JSON. Cela rend l'intégration de données pour certains types d'applications plus rapide et plus facile.
Ransomware attaque les données MongoDB
Récemment, Victor Gevers, un chercheur en sécurité, a tweeté qu'il y avait une série d'attaques de Ransomware sur des installations MongoDB mal sécurisées. Les attaques ont commencé en décembre dernier autour de Noël 2016 et ont depuis infecté des milliers de serveurs MongoDB.
Au départ, Victor a découvert 200 installations MongoDB qui ont été attaquées et retenues contre rançon. Toutefois, les installations infectées ont rapidement atteint 2 000 DB, comme l'a signalé un autre chercheur en sécurité, le fondateur de Shodan, John Matherly, et à la fin du 1st la semaine de 2017, le nombre de systèmes compromis s'élevait à plus de 27 000.
Demande de rançon
Les rapports initiaux suggéraient que les assaillants réclamaient 0,2 Bitcoins (environ 184 USD) en guise de rançon versée par 22 victimes. Actuellement, les assaillants ont augmenté le montant de la rançon et exigent maintenant 1 bitcoin (environ 906 USD).
Depuis la divulgation, les chercheurs en sécurité ont identifié plus de 15 pirates informatiques impliqués dans le piratage de serveurs MongoDB. Parmi eux, un attaquant utilisant l'adresse de messagerie kraken0 a plus de 15 482 serveurs MongoDB compromis et exige 1 Bitcoin pour renvoyer les données perdues.
Jusqu'à présent, les serveurs MongoDB piratés ont augmenté de 28 000, alors que de plus en plus de pirates informatiques font de même - en accédant, en copiant et en supprimant des bases de données mal configurées pour Ransom. De plus, Kraken, un groupe qui a déjà participé à la distribution de Windows Ransomware, a également rejoint le groupe.
Comment se faufile-t-on dans MongoDB Ransomware?
Les serveurs MongoDB accessibles via Internet sans mot de passe sont ceux qui sont ciblés par les pirates. Par conséquent, les administrateurs de serveur qui ont choisi d’exécuter leurs serveurs sans mot de passe et employé noms d'utilisateur par défaut ont été facilement repérés par les pirates.
Pire encore, il existe des exemples du même serveur piraté par différents groupes de hackers qui ont remplacé les billets de rançon existants par les leurs, empêchant ainsi les victimes de savoir si elles paient même le criminel qui leur convient, sans parler de la possibilité de récupérer leurs données. Par conséquent, il n’est pas certain que les données volées seront restituées. Par conséquent, même si vous avez payé la rançon, vos données risquent de disparaître.
Sécurité MongoDB
Les administrateurs de serveur doivent impérativement attribuer un mot de passe fort et un nom d'utilisateur pour accéder à la base de données. Les entreprises qui utilisent l’installation par défaut de MongoDB sont également invitées à: mettre à jour leur logiciel, configurer l'authentification et verrouiller le port 27017 qui a été le plus ciblé par les pirates.
Étapes pour protéger vos données MongoDB
Appliquer le contrôle d'accès et l'authentification
Commencez par Activer le contrôle d'accès de votre serveur et spécifiez le mécanisme d'authentification. L'authentification nécessite que tous les utilisateurs fournissent des informations d'identification valides avant de pouvoir se connecter au serveur.
Le dernier MongoDB 3.4 release vous permet de configurer l’authentification sur un système non protégé sans interruption de service.
Configuration du contrôle d'accès basé sur les rôles
Plutôt que de fournir un accès complet à un ensemble d’utilisateurs, créez des rôles qui définissent l’accès exact dont un ensemble d’utilisateurs a besoin. Suivez un principe de moindre privilège. Créez ensuite des utilisateurs et attribuez-leur uniquement les rôles dont ils ont besoin pour effectuer leurs opérations.
Chiffrer la communication
Les données cryptées sont difficiles à interpréter et peu de pirates informatiques parviennent à les déchiffrer. Configurez MongoDB pour utiliser TLS / SSL pour toutes les connexions entrantes et sortantes. Utilisez TLS / SSL pour chiffrer la communication entre les composants mongod et mongos d'un client MongoDB, ainsi qu'entre toutes les applications et MongoDB.
Avec MongoDB Enterprise 3.2, Encryption at Rest natif du moteur de stockage WiredTiger peut être configuré pour chiffrer les données dans la couche de stockage. Si vous n'utilisez pas le chiffrement de WiredTiger au repos, les données MongoDB doivent être chiffrées sur chaque hôte à l'aide du chiffrement de système de fichiers, de périphérique ou physique.
Limiter l'exposition au réseau
Pour limiter l'exposition au réseau, assurez-vous que MongoDB s'exécute dans un environnement réseau approuvé. Les administrateurs ne doivent autoriser que les clients sécurisés à accéder aux interfaces réseau et aux ports sur lesquels des instances MongoDB sont disponibles.
Sauvegardez vos données
MongoDB Cloud Manager et MongoDB Ops Manager fournissent une sauvegarde continue avec une récupération ponctuelle, et les utilisateurs peuvent activer les alertes dans Cloud Manager pour détecter si leur déploiement est exposé à Internet.
Activité du système d'audit
Des systèmes d'audit périodiques vous permettront de vous tenir au courant des modifications irrégulières apportées à votre base de données. Suivre l'accès aux configurations et aux données de la base de données.MongoDB Enterprise comprend une fonction d'audit du système permettant d'enregistrer des événements système sur une instance de MongoDB.
Exécuter MongoDB avec un utilisateur dédié
Exécutez les processus MongoDB avec un compte utilisateur du système d'exploitation dédié. Assurez-vous que le compte dispose des autorisations nécessaires pour accéder aux données, mais pas des autorisations inutiles.
Exécuter MongoDB avec des options de configuration sécurisées
MongoDB prend en charge l'exécution du code JavaScript pour certaines opérations côté serveur: mapReduce, group et $ where. Si vous n'utilisez pas ces opérations, désactivez les scripts côté serveur à l'aide de l'option –noscripting sur la ligne de commande.
Utilisez uniquement le protocole filaire MongoDB sur les déploiements en production. Laisser la validation d'entrée activée. MongoDB active la validation des entrées par défaut via le paramètre wireObjectCheck. Cela garantit que tous les documents stockés par l'instance de mongod sont des BSON valides.
Demander un guide de mise en œuvre technique de sécurité (le cas échéant)
Le Guide technique d'implémentation de sécurité (STIG) contient des instructions de sécurité pour les déploiements au sein du département de la Défense des États-Unis. MongoDB Inc. fournit son STIG, sur demande, pour les situations où il est requis. Vous pouvez demander une copie pour plus d'informations.
Considérer la conformité aux normes de sécurité
Pour les applications nécessitant la conformité HIPAA ou PCI-DSS, veuillez vous reporter à l’Architecture de référence de sécurité MongoDB. ici pour en savoir plus sur la manière dont vous pouvez utiliser les fonctionnalités de sécurité clés pour créer une infrastructure d’application conforme.
Comment savoir si votre installation MongoDB est piratée
- Vérifiez vos bases de données et vos collections. Les hackers abandonnent généralement les bases de données et les collections et les remplacent par un nouveau tout en réclamant une rançon pour l'original.
- Si le contrôle d'accès est activé, vérifiez les journaux système pour rechercher les tentatives d'accès non autorisées ou les activités suspectes. Recherchez les commandes qui ont supprimé vos données, modifié des utilisateurs ou créé un enregistrement de demande de rançon.
Notez qu'il n'y a aucune garantie que vos données seront retournées même après avoir payé la rançon. Par conséquent, après l’attaque, votre première priorité devrait être de sécuriser votre (vos) cluster (s) afin d’empêcher tout autre accès non autorisé.
Si vous effectuez des sauvegardes, vous pouvez évaluer, au moment de la restauration de la version la plus récente, les données susceptibles d'avoir changé depuis la dernière sauvegarde et l'heure de l'attaque. Pour plus, vous pouvez visiter mongodb.com.
