据国家网络与信息安全信息通报中心监测发现,近期国内外部分重要行业和部门发生了针对MongoDB数据库的勒索事件,被感染数据库服务器数量超26000台。
一、漏洞成因及危害
MongoDB数据库在默认安装完成后,当admin.system.users用户组未添加用户,未经过任何认证也可以对数据库进行操作。利用该漏洞可通过默认端口无需密码对数据库任意操作(对数据库内容进行修改、删除等高危动作),而且可以远程访问数据库。黑客组织利用该漏洞,劫持服务器后批量对存在漏洞的数据库进行“删库”操作并留下联系方式,以此勒索用户支付赎金。
二、修复建议
1.修改数据库默认端口或将数据库部署在内网坏境中,将MongoDB数据库默认端口(TCP 27017)修改为其他端口;
2.开启MongoDB数据库访问授权;
3.三是使用SSL加密功能;
4.使用“--blind_ip”选项,限制监听接口IP;
5.开启数据库日志审计功能,记录所有数据库操作;
6.及时做好重要数据备份工作。