Miles de bases de datos MongoDB estar铆an secuestradas

Desde comienzos de a帽o, miles de bases de datos disponibles sin restricciones en Internet han sido objeto de ataques sistem谩ticos. Se tratar铆a de bases de datos MongoDB, las cuales habr铆an sido totalmente borradas por los atacantes, quienes cobran un rescate por restituirlas.

El hacker 茅tico Victor Gevers, cofundador de la iniciativa de seguridad GDI Foundation, detect贸 el 27 de diciembre el primer caso en que una base de datos de estas caracter铆sticas hab铆a sido borrada y sustituida por una notificaci贸n聽 donde se advert铆a聽que los datos ser铆an restituidos previo pago de un rescate de 0,2 bitcoins a una direcci贸n determinada.

Desde esa fecha, miles de bases de datos han sido objeto del mismo ataque, lo que lleva a suponer que se trata聽 de los mismos atacantes. Adicionalmente,聽 el modus operandi聽ha servido de inspiraci贸n para otros ciberdelincuentes, lo que ha resultado en un fuerte incremento en el n煤mero de bases de datos afectadas.

Seg煤n una lista elaborada por Gevers, y publicada en Google Docs, hasta ahora se han detectado聽casi 28.000聽servidores atacados. S贸lo durante el fin de semana se habr铆an registrado 15.000 nuevos casos, que han resultado en la eliminaci贸n de 93 TB de datos.

En algunas de las incidencias, el rescate exigido ha sido de 1 BT, equivalentes al d铆a de hoy a 906聽d贸lares/860聽euros. Hay pocas razones para suponer que las bases de datos han sido copiadas, por lo que se desaconseja los propietarios de los datos pagar el rescate exigido.聽 Esta lista de Blockchain Info presenta聽una relaci贸n de los pagos registrados, lo que implica que varios afectados han decidido pagar.

Este tipo de ataques contra las bases de datos de聽MongoDB no deber铆a sorprender. En聽 agosto de 2015,聽 la empresa de seguridad inform谩tica BinaryEdge analiz贸 44 populares tecnolog铆as聽 de rango enterprise: Redis, MongoDB, Memcache y ElasticSearch,聽constatando serios problemas de configuraci贸n en todas ellas, que hasta entonces hab铆an resultado en la filtraci贸n de 1聽 petabyte聽 de datos.聽 Para el caso de MongoDB,聽 se etectaron 39.000 bases de datos expuestas.

En un reciente tuit, Gevers hace聽referencia a datos publicados聽por ZoomEye, seg煤n聽la cual聽MongoDB est谩 instalada en alrededor de/aproximadamente 100.000 servidores.

El problema radica en parte en que la configuraci贸n est谩ndar聽utilizada hasta hace poco por聽MongoDB聽 implicaba que el servidor聽estaba聽 accesible聽v铆a Internet mediante una cuenta de administrador carente de contrase帽a. Esta inexplicable caracter铆stica fue modificada posteriormente, por lo que s贸lo las instalaciones m谩s recientes estar铆an protegidas.

Recomendaciones

Hace unos d铆as, la empresa MongoDB public贸 en su blog oficial un art铆culo en que se refiere a los ataques. La empresa recalca que los ataques pueden ser聽evitados al utilizar los mecanismos de seguridad incluidos en su producto. Esto se aplica principalmente al control de acceso, que por cuenta propia puede impedir a los atacantes el acceso a los datos, siempre y cuando est茅 configurado adecuadamente.

Al margen de lo anterior, se recomienda a聽los administradores de聽MongoDB asegurarse que el control de acceso y otras configuraciones de seguridad sean las adecuadas, independientemente de聽 la fecha de creaci贸n de la base de datos. En particular es necesario constatar si se han agregado o modificado cuentas de acceso/de usuario, y si el estado de las bases de datos es el adecuado.

Asimismo, se recalca la importancia de las copias de seguridad. MongoDB ofrece servicios de copia de respaldo聽continuo de todas las bases de datos. Eso podr铆a ser necesario para algunos聽 usuarios, mientras que para otros la creaci贸n de una copia diaria podr铆a ser suficiente. Tambi茅n se recomienda conservar copias anteriores, con el fin de asegurarse de que la base de datos creada por los atacantes no sobreescriba con c贸digo maligno聽 las copias almacenadas.

La empresa聽MongoDB聽 recomienda聽“dar por descontado” que los datos que han estado expuestos a Internet ya han sido copiados. Por lo tanto, sugiere a los usuarios聽iniciar los聽 procedimientos internos resultantes de un ataque.

Informe: problemas de configuraci贸n causan fuga de Big Data

Ilustraci贸n (c) Schankz v铆a Shutterstock



Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.