1400 öffentlich zugängliche MongoDB-Server wurden von einem unbekannten Angreifer kompromittiert, Daten sollen gegen ein Lösegeld wieder freigegeben werden.
Pentester des Cyber-Security-Unternehmens Flare entdeckten mehr als 208.500 öffentlich erreichbare MongoDB-Server. Rund 3.100 Systeme waren demnach ohne Authentifizierung zugänglich, bei etwa 1.400 wurden bereits Datenbanken gelöscht und ein Erpresserschreiben hinterlassen.
Die Angriffe laufen offenbar weitgehend automatisiert. Typischerweise wird eine Zahlung von 0,005 BTC binnen 48 Stunden gefordert. Das entspricht derzeit etwa 350€.
Auffällig ist, dass in den Ransom Notes nur fünf Wallet-Adressen auftauchten, wobei eine Adresse klar dominiert, was auf einen einzelnen Angreifer hindeutet. Neben unzureichenden Authentifizierungsmaßnahmen verwenden laut Flare etwa die Hälfte der betroffenen Instanzen veraltete Versionen der Software.
Administratoren wird empfohlen, Server nur öffentlich zugänglich zu machen, wenn nicht anders möglich und dann auch nur mit starkem Authentifizierungsmechanismus. Darüber hinaus sollten nur vertrauenswürdige Verbindungen zugelassen, MongoDB auf die neueste Version aktualisiert und Zugangsdaten rotiert werden.
Was jetzt zu tun ist:
- Zugriffsmöglichkeiten einschränken
- Veraltete Versionen umgehend patchen
- Passwörter/Secrets rotieren
