MongoDB – Zehntausende Installationen von Ransom-Attacke betroffen

MongoDB-Installationen haben ein Problem. Per Default sind lokal installierte Instanzen mit einem Internetuugang aktiviert. Dadurch können auch Dritte sehr einfach auf die Datenbanken zugreifen. Viele Anwender tappen hier offenbar in eine Falle und aktivieren den Internetzugang ohne es zu wollen. Jetzt hat der Anbieter mit einem Advisory reagiert, in dem beschrieben wird, wie sich die Installationen sicher machen lassen.

Über das Wochenende wurde bekannt, dass mehrere Zehntausend MongoDB-Installationen angegriffen wurden. Zunächst veröffentlichte Niall Merrigan die Zahl von 27.000 gekaperten Datenbanken, kurze Zeit später listete der laut eigenen Angaben ‘ethische Hacker’ Victor Gevers in der gleichen Google-Docs-Datei mehr als 32.000 Datenbanken auf, die von Ransomware übernommen wurden.

Die Mehrzahl der Opfer der jüngsten Ransom-Attacke auf MongoDB haben offenbar keine Backup-Strategie, wie aus der aktuellen Liste von Merrigan und Gevers hervorgehrt. (Screenshot: silicon.de)

Die Attacken laufen so ab, dass Angreifer Daten von einer Datenbank kopieren und die Originaldaten löschen. Dann fordern sie Bitcoins im Wert von mehreren hundert Dollar Lösegeld, um die entwendeten Daten wieder herauszugeben.

Ganz neu ist das Problem nicht. Bereits 2015 hatten Studenten der Universität des Saarlandes knapp 40.000 unsicher konfigurierte MongoDB-Installationen entdeckt, die über das Internet erreichbar waren. Sie hatten diese Entdeckung damals auch an MongoDB gemeldet.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

“Die betreffenden Datenbanken arbeiten ohne jegliche Sicherheitsmechanismen. Da man sogar Schreibrechte hat und daher die Daten verändern könnte, nehmen wir an, dass die Datenbanken ohne Absicht offen sind”, teilten die Studenten damals mit.

Die Studenten hätten testweise eine bekannte Suchmaschine nach MongoDB-Servern- und Diensten abgesucht, die mit dem Internet verbunden sind. Auf diese Weise fanden sie die IP-Adressen heraus, unter denen Unternehmen die Datenbanken ungeschützt betreiben.

Als die Studenten unter der jeweiligen IP-Adresse die gefundenen MongoDB-Datenbanken aufriefen, seien sie überrascht gewesen, da der Zugang weder geschlossen noch in irgendeiner anderen Form abgesichert gewesen sei: “Eine so ungesicherte Datenbank im Internet gleicht einer öffentlichen Bibliothek ohne Bibliothekar mit weit offen stehender Eingangstür. Jeder kann dort rein”, kommentierte damls der Studienleiter Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes. Binnen weniger Minuten hätten die Studenten die Anfälligkeit auch bei einer Vielzahl anderer Datenbanken ausgemacht.

Meldungen darüber, dass offenbar immer wieder Anwender wichtige Punkte in den Leitfäden von MongoDB übersehen, gibt es jedoch schon länger. Vor einem ähnlichen Problem wurde bereits 2013 gewarnt. Auch in den Folgejahren gab es immer wieder ähnliche Meldungen.

Mehr zum Thema

Wie man gefährliche E-Mails identifiziert

Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.

In dem jetzt veröffentlichten Advisory will der Hersteller keine Fehler eingestehen, da sich die Datenbank auch ohne Zutun des Anwenders sicher installiere.

Neben den Anleitungen von MongoDB raten Sicherheitsexperten auch dazu, wenigstens den Port 27017 in der Firewall zu blockieren. Auch könne MongoDB konfiguriert werden, lediglich 127.0.0.1 in /etc/mongodb.conf zu lauschen. Anschließend müsse die Datenbank neu gestartet werden.

Von den Entwicklern heißt es, dass MongoDB nicht unsicherer sei als andere NoSQL-Datenbanken und es zahlreiche Anleitungen gebe, wie die Datenbank sicher installiert werden könne. Kritiker jedoch halten dem entgegen, MongoDB müsse dafür Sorge tragen, dass Anwender eine Datenbank nicht unwissentlich für den Zugriff über das Internet freigeben können.

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Schwedische Behörden fordern EU-weite Regulierung für Bitcoin-Mining

Sie sehen im Energieverbrauch bei der Produktion von Kryptowährungen eine Gefahr für die Einhaltung der…

21 Stunden ago

ZTNA versus Remote Access VPN – 6 Vorteile

Remote Access Virtual Private Networks (VPN) haben lange gute Dienste geleistet, aber der Trend zum…

2 Tagen ago

Gartner: Smartphonemarkt schrumpft 6,8 Prozent im dritten Quartal

Samsung behauptet sich als größter Smartphonehersteller vor Apple und Xiaomi. Samsung ist aber auch der…

2 Tagen ago

Fehler in MediaTek-Prozessoren erlauben Abhören von Android-Smartphones

Check Point entdeckt insgesamt vier Schwachstellen. Für drei Anfälligkeiten stellt MediaTek bereits Patches zur Verfügung.…

2 Tagen ago

Bericht: Apple fertigt eigene 5G-Modems bei TSMC

In iPhones sollen die Chips ab 2023 verbaut sein. Mit dem Schritt würde Apple seine…

2 Tagen ago

Samsung baut Chipfabrik in den USA für 17 Milliarden Dollar

Sie entsteht im US-Bundesstaat Texas. Samsung fertigt dort Logik-Chips für 5G, AI und High-Performance Computing.…

3 Tagen ago