Ransomware auf Datenbanken
MongoDB-Ransomware wirkungsvoll abwehren
Zunehmende Angriffe auf Datenbanken
München, 06. April 2017 – In den letzten Jahren hat die Zahl der Ransomware-Angriffe stetig zugenommen. Während zunächst eher private Anwender im Fokus standen, konzentrieren sich Cyberkriminelle bei Ransomware-Angriffen zunehmend auf Unternehmensnetzwerke. Besonders auf MongoDB NoSQL-Datenbanken haben es Hacker in den letzten Monaten abgesehen. Das Sicherheitsunternehmen Trustwave verrät, mit welchen einfachen Handgriffen Unternehmen ihre MongoDB-Datenbanken vor Angriffen schützen können.
Je einfacher ein Unternehmensnetzwerk oder eine Netzwerkanwendung zu hacken ist, desto leichter gerät es auch ins Visier von Cyberkriminellen. Und so wurde in den letzten Monaten immer wieder falsch konfigurierte oder unzureichend gesicherte MongoDB NoSQL-Datenbankinstallationen das Ziel von Hackerangriffen.
Die Angreifer verschlüsselten nach dem erfolgreichen Angriff die komplette Datenbank und entschlüsselten die Daten erst wieder nach Zahlung der geforderten Lösegeldsumme.
Die Experten des Trustwave SpiderLabs, ein Team aus ethischen Hackern und IT-Forensikern, hat das Thema MongoDB NoSQL-Datenbanken und Ransomware-Angriffe noch einmal genau unter die Lupe genommen.
Dabei ist vor allem eines erschreckend: Die Zahl der MongoDB NoSQL-Datenbanken, die ungesichert sind und damit öffentlich zugänglich, hat in den letzten zwei Jahren rasant zugenommen. Gab es im Jahr 2015 "nur" etwa 35.000 ungesicherte Instanzen, gehen die SpiderLabs-Experten davon aus, dass sich die Zahl im Jahr 2017 auf etwa 90.000 erhöhen wird.
MongoDB ist eine NoSQL-Datenbank, die auf einer Architektur von Sammlungen und Dokumenten basiert, im Gegensatz zu den Standardreihen und Tabellen, die häufig in "traditionelleren" Datenbankformaten vorkommen.
Das korrekte Konfigurieren von MongoDB-Datenbanken ist relativ einfach und sollte von IT-Verantwortlichen umgehend umgesetzt werden. Dafür müssen Administratoren lediglich die YAML-basierte Konfigurationsdatei mongod.conf anpassen und folgende Parameter ändern beziehungsweise aktivieren.
YAML-basierte Konfigurationsdatei mongod.conf anpassen
1 authorization: true
Dieser Parameter stellt sicher, dass Anwender nur durch Eingabe eines Benutzernamens und eines Passworts eine Verbindung zur MongoDB-Datenbank herstellen können. Diesen Berechtigungsparameter kann man schon vor dem Einrichten eines Admin-Accounts erstellen. Standardmäßig legt MongoDB nämlich keinen Admin-Account an. Hacker nutzen diesen Umstand aus, indem sie gerne als erstes einen Admin-Account anlegen. Dadurch können sie nicht nur Zugriff auf alle Daten bekommen, sondern dafür sorgen, dass eigentlich Berechtigte keinen Zugriff mehr erhalten.
2 port: <non-default port>
Der Standard-Port für MongoDB ist 27017. Wenn man diesen Port ändert, macht man es Angreifern ein wenig schwerer, die Datenbank zu finden.
3) bindIp: <comma separated IP addresses>
Mit diesem Parameter stellen IT-Verantwortliche sicher, dass ein Zugriff auf die MongoDB-Datenbank nur für einen definierten IP-Adressenbereich möglich ist.
Neben diesen Maßnahmen empfiehlt Trustwave außerdem, Datenbanken mit Hilfe geeigneter Sicherheits-Tools regelmäßig auf Unregelmäßigkeiten hin zu überprüfen und Schwachstellen aufzuspüren, bevor Cyberkriminelle dies tun.
Einen Überblick über die leistungsfähige Datenbank-Sicherheits-Tools von Trustwave gibt es HIER .