La falta de contraseñas, detrás de la oleada de ataques a MongoDB

Share this…

Recientemente ha habido una oleada de ataques contra bases de datos de MongoDB. Ahora, según Davi Ottenheimer, director de seguridad de la empresa, esto parece haber sido como consecuencia de que los propietarios no habían establecido contraseñas. Ese olvido por parte de los propietarios de las bases de datos de establecer contraseñas, supuso la gran oleada de ataques que sufrieron.

Ataques a MongoDB

“Hemos estado monitoreando la situación de cerca para ayudar a investigar y proporcionar asistencia. Hemos revisado estos detalles para entender dónde y cuándo los usuarios dejaron los sistemas inseguros (conectados a Internet sin contraseña en su cuenta de administrador) y quién los está atacando”, explicó Davi Ottenheimer.

La reciente oleada de ataques salió a la luz hace dos semanas. Tres nuevos agentes han estado ocupados tomando las bases de datos MongoDB y reescribiendo su contenido con demandas de rescate.

Los atacantes arruinaron más de 26.000 servidores MongoDB, con un solo grupo responsable de más de 22.000 demandas de rescate.

Esta ola de demandas de rescate se produjo después de un período de inactividad de este tipo de grupos de MongoDB. A principios de 2017, varios grupos han mantenido bajo rescate más de 50.000 bases de datos MongoDB.

Los propietarios, culpables

Victor Gevers, uno de los investigadores que ha estado siguiendo los ataques, confirmó los hallazgos de la investigación MongoDB. Pone como culpables de esta última gran oleada de ataques a los propietarios de bases de datos de forma exclusiva.

Los problemas con la seguridad de MongoDB comenzaron hace unos años cuando algunas versiones de la base de datos MongoDB antes de v2.6.0 venían con una configuración predeterminada que permitía a cualquiera acceder a la interfaz administrativa desde todas las ubicaciones de la red, no sólo localhost. Además, la cuenta de administrador no tenía una contraseña. Esto permitió a los atacantes conectarse a bases de datos con la raíz del usuario y sin contraseña.

MongoDB corrigió este error de configuración poco después, pero para ese momento, muchas de esas versiones habían sido incorporadas como parte de imágenes de servidores web desplegadas por algunos proveedores de alojamiento como Amazon.

Esto dio como resultado que cientos de miles de servidores que ejecutaban versiones más antiguas de MongoDB con configuraciones predeterminadas inseguras.

Los ataques a la compañía en enero contribuyeron a la eliminación de la mayoría de las versiones más antiguas de estas bases de datos, pero los investigadores también descubrieron que las nuevas versiones de DB también estaban siendo mantenidas por rescate tanto como las antiguas.

Sin seguridad

Los investigadores descubrieron que los propietarios de bases de datos estaban exponiendo intencionalmente sus sistemas a Internet sin contraseña, ignorando todas las prácticas recomendadas de seguridad por conveniencia y facilidad de acceso. Esto parece haber sido el caso una vez más con los ataques de agosto y septiembre.

Tal como hizo en enero, Ottenheimer aprovechó la oportunidad para recordar a los administradores de servidores de la empresa que actualizaran su base de datos. O al menos que protegieran sus archivos de configuración de bases de datos.

Fuente:https://www.redeszone.net/2017/09/11/la-falta-contrasenas-detras-la-oleada-ataques-mongodb/