Các tác nhân đe dọa đang chủ động nhắm mục tiêu vào các phiên bản MongoDB được phơi bày ra internet trong các chiến dịch mã độc ransomware tự động quy mô lớn. Các cuộc tấn công này tuân theo một mô hình nhất quán: kẻ tấn công quét các cơ sở dữ liệu MongoDB không bảo mật có thể truy cập công khai, xóa dữ liệu đã lưu trữ và chèn các thông báo đòi tiền chuộc yêu cầu thanh toán bằng Bitcoin.
Bằng chứng gần đây cho thấy các chiến dịch này vẫn mang lại lợi nhuận cao, bất chấp các yêu cầu tiền chuộc khiêm tốn thường dao động từ 500 đến 600 USD mỗi nạn nhân.
Chi tiết Về Các Chiến dịch Mã độc Ransomware MongoDB
Mô hình khai thác khá đơn giản về mặt kỹ thuật nhưng lại rất hiệu quả về mặt vận hành. Các tác nhân đe dọa sử dụng các công cụ quét tự động để xác định các dịch vụ MongoDB bị phơi bày trên cổng 27017 mà không có xác thực.
Một khi quyền truy cập được thiết lập, kẻ tấn công sẽ xuất hoặc liệt kê nội dung cơ sở dữ liệu để đánh giá giá trị trước khi thực hiện các hoạt động phá hủy dữ liệu. Các collection và cơ sở dữ liệu bị xóa hoặc làm trống hoàn toàn một cách có hệ thống, sau đó một thông báo đòi tiền chuộc được chèn vào phiên bản MongoDB.
Nạn nhân nhận được lời đe dọa rằng dữ liệu của họ sẽ bị xóa vĩnh viễn trừ khi họ gửi thanh toán Bitcoin đến các địa chỉ ví do kẻ tấn công kiểm soát trong một khung thời gian cụ thể, thường là 48 giờ.
Phân tích Các Cuộc Tấn công Thực tế
Phân tích các sự cố bị xâm nhập trong thực tế cho thấy khoảng 45.6% các phiên bản MongoDB bị phơi bày hoàn toàn đã có các thông báo đòi tiền chuộc. Điều này cho thấy nạn nhân đã thanh toán tiền chuộc hoặc dữ liệu của họ đã bị phá hủy mà không thể phục hồi.
Đáng chú ý, hơn 98% các khoản thanh toán tiền chuộc được quan sát đều được chuyển đến một ví Bitcoin duy nhất. Điều này cho thấy hoạt động phối hợp của một tác nhân đe dọa chính đang vận hành chiến dịch mã độc ransomware có lợi nhuận này.
Phạm vi Rủi ro và Quy mô Tấn công Mạng
Quét trên toàn internet đã xác định hơn 200,000 máy chủ MongoDB có thể truy cập công khai trực tuyến, với khoảng 3,100 phiên bản được xác nhận là bị phơi bày hoàn toàn và thiếu các kiểm soát truy cập.
Đây là một bề mặt rủi ro nghiêm trọng, vì bất kỳ MongoDB nào kết nối internet mà thiếu xác thực sẽ ngay lập tức trở nên dễ bị khai thác tự động. Các cuộc tấn công mạng nhắm vào các hệ thống này thường thành công do sự thiếu hụt các biện pháp bảo vệ cơ bản.
Nguyên nhân Gốc rễ: Cấu hình Sai
Nguyên nhân cơ bản của tình trạng lỗ hổng này xuất phát từ các cấu hình triển khai sai chứ không phải từ các lỗ hổng phần mềm. Các image Docker và cấu hình hạ tầng sao chép-dán thường liên kết MongoDB với tất cả các giao diện mạng (0.0.0.0) theo mặc định, mà không bắt buộc xác thực.
Các nhà phát triển thường triển khai các mẫu này trong môi trường sản xuất với cổng 27017 bị phơi bày ra bên ngoài, vô tình tạo ra quyền truy cập internet trực tiếp vào các cơ sở dữ liệu không được bảo vệ.
Một phân tích các kho chứa container Docker Hub đã xác định 763 image với cấu hình MongoDB không an toàn trên 30 không gian tên riêng biệt. Hai dự án được phân phối rộng rãi với hơn 15,000 lượt tải mỗi dự án đều chứa các liên kết cơ sở dữ liệu không xác thực giống hệt nhau, cho thấy cách các mặc định không an toàn lan truyền qua các mẫu hạ tầng phổ biến.
Biện pháp Phòng ngừa và Tăng cường An ninh Mạng
Theo Flare, các tổ chức phải kiểm toán ngay lập tức các triển khai MongoDB của mình để xác định bất kỳ sự phơi bày công khai nào. Các biện pháp phòng ngừa quan trọng bao gồm hạn chế MongoDB chỉ vào các mạng riêng và bắt buộc xác thực SCRAM với kiểm soát truy cập dựa trên vai trò.
Việc triển khai các quy tắc tường lửa để chặn truy cập công khai trên cổng 27017 và thay thế các image Docker mặc định bằng các cấu hình đã được cứng hóa là điều cần thiết. Tham khảo thêm về các biện pháp phòng ngừa tại: Flare.io Blog.
Giám sát Liên tục và Phát hiện Sớm
Giám sát phơi bày liên tục với các công cụ như Shodan Monitor và các nền tảng quản lý tình trạng bảo mật đám mây (Cloud Security Posture Management – CSPM) cho phép phát hiện nhanh chóng các cấu hình sai trước khi chúng bị khai thác.
Các giải pháp này đóng vai trò quan trọng trong việc duy trì bảo mật thông tin và ngăn chặn các mối đe dọa tiềm tàng từ việc leo thang thành các cuộc tấn công toàn diện.
Mối Đe dọa Zero-Day và Ưu tiên Bảo mật Thông tin
Mặc dù MongoDB không có các lỗ hổng thực thi mã từ xa trước xác thực (pre-authentication remote code execution) được biết đến, nhưng một lỗ hổng zero-day duy nhất có thể ngay lập tức phơi bày hàng trăm nghìn máy chủ trước các cuộc tấn công tự động quy mô lớn.
Các tổ chức phải ưu tiên phân đoạn mạng và thực thi xác thực ngay lập tức để loại bỏ véc tơ mối đe dọa dai dẳng này và bảo vệ dữ liệu nhạy cảm khỏi các chiến dịch mã độc ransomware.
