MongoDB – Zehntausende Installationen von Ransom-Attacke betroffen

Ransomware (Grafik: Shutterstock)

Eine groß angelegte Ransom-Attacke hat offenbar mehr als 30.000 MongoDB-Datenbanken gelöscht. Der Großteil scheint nicht über Backups zu verfügen. Jetzt reagiert der Hersteller.

MongoDB-Installationen haben ein Problem. Per Default sind lokal installierte Instanzen mit einem Internetuugang aktiviert. Dadurch können auch Dritte sehr einfach auf die Datenbanken zugreifen. Viele Anwender tappen hier offenbar in eine Falle und aktivieren den Internetzugang ohne es zu wollen. Jetzt hat der Anbieter mit einem Advisory reagiert, in dem beschrieben wird, wie sich die Installationen sicher machen lassen.

Über das Wochenende wurde bekannt, dass mehrere Zehntausend MongoDB-Installationen angegriffen wurden. Zunächst veröffentlichte Niall Merrigan die Zahl von 27.000 gekaperten Datenbanken, kurze Zeit später listete der laut eigenen Angaben ‘ethische Hacker’ Victor Gevers in der gleichen Google-Docs-Datei mehr als 32.000 Datenbanken auf, die von Ransomware übernommen wurden.

Die Mehrzahl der Opfer der jüngsten Ransom-Attacke auf MongoDB haben offenbar keine Backup-Strategie, wie aus der aktuellen Liste von Merrigan und Gevers hervorgehrt. (Screenshot: silicon.de)
Die Mehrzahl der Opfer der jüngsten Ransom-Attacke auf MongoDB haben offenbar keine Backup-Strategie, wie aus der aktuellen Liste von Merrigan und Gevers hervorgehrt. (Screenshot: silicon.de)

Die Attacken laufen so ab, dass Angreifer Daten von einer Datenbank kopieren und die Originaldaten löschen. Dann fordern sie Bitcoins im Wert von mehreren hundert Dollar Lösegeld, um die entwendeten Daten wieder herauszugeben.

Ganz neu ist das Problem nicht. Bereits 2015 hatten Studenten der Universität des Saarlandes knapp 40.000 unsicher konfigurierte MongoDB-Installationen entdeckt, die über das Internet erreichbar waren. Sie hatten diese Entdeckung damals auch an MongoDB gemeldet.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

“Die betreffenden Datenbanken arbeiten ohne jegliche Sicherheitsmechanismen. Da man sogar Schreibrechte hat und daher die Daten verändern könnte, nehmen wir an, dass die Datenbanken ohne Absicht offen sind”, teilten die Studenten damals mit.

Die Studenten hätten testweise eine bekannte Suchmaschine nach MongoDB-Servern- und Diensten abgesucht, die mit dem Internet verbunden sind. Auf diese Weise fanden sie die IP-Adressen heraus, unter denen Unternehmen die Datenbanken ungeschützt betreiben.

MongoDB

Als die Studenten unter der jeweiligen IP-Adresse die gefundenen MongoDB-Datenbanken aufriefen, seien sie überrascht gewesen, da der Zugang weder geschlossen noch in irgendeiner anderen Form abgesichert gewesen sei: “Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein”, kommentierte damls der Studienleiter Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes. Binnen weniger Minuten hätten die Studenten die Anfälligkeit auch bei einer Vielzahl anderer Datenbanken ausgemacht.

Meldungen darüber, dass offenbar immer wieder Anwender wichtige Punkte in den Leitfäden von MongoDB übersehen, gibt es jedoch schon länger. Vor einem ähnlichen Problem wurde bereits 2013 gewarnt. Auch in den Folgejahren gab es immer wieder ähnliche Meldungen.

Mehr zum Thema

Wie man gefährliche E-Mails identifiziert

Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.

In dem jetzt veröffentlichten Advisory will der Hersteller keine Fehler eingestehen, da sich die Datenbank auch ohne Zutun des Anwenders sicher installiere.

Neben den Anleitungen von MongoDB raten Sicherheitsexperten auch dazu, wenigstens den Port 27017 in der Firewall zu blockieren. Auch könne MongoDB konfiguriert werden, lediglich 127.0.0.1 in /etc/mongodb.conf zu lauschen. Anschließend müsse die Datenbank neu gestartet werden.

Von den Entwicklern heißt es, dass MongoDB nicht unsicherer sei als andere NoSQL-Datenbanken und es zahlreiche Anleitungen gebe, wie die Datenbank sicher installiert werden könne. Kritiker jedoch halten dem entgegen, MongoDB müsse dafür Sorge tragen, dass Anwender eine Datenbank nicht unwissentlich für den Zugriff über das Internet freigeben können.