Categories: Data

MongoDB – Zehntausende Installationen von Ransom-Attacke betroffen

MongoDB-Installationen haben ein Problem. Per Default sind lokal installierte Instanzen mit einem Internetuugang aktiviert. Dadurch können auch Dritte sehr einfach auf die Datenbanken zugreifen. Viele Anwender tappen hier offenbar in eine Falle und aktivieren den Internetzugang ohne es zu wollen. Jetzt hat der Anbieter mit einem Advisory reagiert, in dem beschrieben wird, wie sich die Installationen sicher machen lassen.

Über das Wochenende wurde bekannt, dass mehrere Zehntausend MongoDB-Installationen angegriffen wurden. Zunächst veröffentlichte Niall Merrigan die Zahl von 27.000 gekaperten Datenbanken, kurze Zeit später listete der laut eigenen Angaben ‘ethische Hacker’ Victor Gevers in der gleichen Google-Docs-Datei mehr als 32.000 Datenbanken auf, die von Ransomware übernommen wurden.

Die Mehrzahl der Opfer der jüngsten Ransom-Attacke auf MongoDB haben offenbar keine Backup-Strategie, wie aus der aktuellen Liste von Merrigan und Gevers hervorgehrt. (Screenshot: silicon.de)

Die Attacken laufen so ab, dass Angreifer Daten von einer Datenbank kopieren und die Originaldaten löschen. Dann fordern sie Bitcoins im Wert von mehreren hundert Dollar Lösegeld, um die entwendeten Daten wieder herauszugeben.

Ganz neu ist das Problem nicht. Bereits 2015 hatten Studenten der Universität des Saarlandes knapp 40.000 unsicher konfigurierte MongoDB-Installationen entdeckt, die über das Internet erreichbar waren. Sie hatten diese Entdeckung damals auch an MongoDB gemeldet.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

“Die betreffenden Datenbanken arbeiten ohne jegliche Sicherheitsmechanismen. Da man sogar Schreibrechte hat und daher die Daten verändern könnte, nehmen wir an, dass die Datenbanken ohne Absicht offen sind”, teilten die Studenten damals mit.

Die Studenten hätten testweise eine bekannte Suchmaschine nach MongoDB-Servern- und Diensten abgesucht, die mit dem Internet verbunden sind. Auf diese Weise fanden sie die IP-Adressen heraus, unter denen Unternehmen die Datenbanken ungeschützt betreiben.

Als die Studenten unter der jeweiligen IP-Adresse die gefundenen MongoDB-Datenbanken aufriefen, seien sie überrascht gewesen, da der Zugang weder geschlossen noch in irgendeiner anderen Form abgesichert gewesen sei: “Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein”, kommentierte damls der Studienleiter Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes. Binnen weniger Minuten hätten die Studenten die Anfälligkeit auch bei einer Vielzahl anderer Datenbanken ausgemacht.

Meldungen darüber, dass offenbar immer wieder Anwender wichtige Punkte in den Leitfäden von MongoDB übersehen, gibt es jedoch schon länger. Vor einem ähnlichen Problem wurde bereits 2013 gewarnt. Auch in den Folgejahren gab es immer wieder ähnliche Meldungen.

Mehr zum Thema

Wie man gefährliche E-Mails identifiziert

Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.

In dem jetzt veröffentlichten Advisory will der Hersteller keine Fehler eingestehen, da sich die Datenbank auch ohne Zutun des Anwenders sicher installiere.

Neben den Anleitungen von MongoDB raten Sicherheitsexperten auch dazu, wenigstens den Port 27017 in der Firewall zu blockieren. Auch könne MongoDB konfiguriert werden, lediglich 127.0.0.1 in /etc/mongodb.conf zu lauschen. Anschließend müsse die Datenbank neu gestartet werden.

Von den Entwicklern heißt es, dass MongoDB nicht unsicherer sei als andere NoSQL-Datenbanken und es zahlreiche Anleitungen gebe, wie die Datenbank sicher installiert werden könne. Kritiker jedoch halten dem entgegen, MongoDB müsse dafür Sorge tragen, dass Anwender eine Datenbank nicht unwissentlich für den Zugriff über das Internet freigeben können.

Redaktion

Recent Posts

Wenn KI die Luftfracht managt

Der Frachtdienstleister FIEGE Air Cargo Logistics nutzt eine Telekom-Lösung, um Luftfrachtpaletten platzsparend zu verladen.

16 Stunden ago

Cybersicherheitstrends im Finanzsektor

Kaspersky-Studie sieht neue Risiken durch das Aufkommen quantensicherer Ransomware und verstärkte Angriffe auf mobile Endgeräte.

2 Tagen ago

Cequence: Hacker nehmen APIs zunehmend ins Visier

Trends 2025: Third-Party-API-Monitoring, generative KI für mehr API-Sicherheit und Architekten für Geschäftsresilienz.

2 Tagen ago

Forescout: Bedrohungslandschaft wird komplexer und vielschichtiger

Trends 2025: „Grassroots“-Hacktivismus, „unsichtbare“ Firmware-Bedrohungen und Gelddiebstahl im Schlaf.

2 Tagen ago

Industrielles Metaversum: Studie sieht wachsenden Zuspruch

62 Prozent der Unternehmen erhöhen ihre Investitionen. Gerade auch mittelständische Betriebe bauen Etats jetzt spürbar…

2 Tagen ago

Blockchain: Deutsche Unternehmen bleiben desinteressiert

Das transformative Potenzial der Blockchain scheint die deutschen Unternehmen kalt zu lassen. Denn laut der…

2 Tagen ago