威胁行为者正通过大规模自动化勒索软件活动,持续攻击暴露在互联网上的MongoDB实例。攻击模式高度一致:攻击者扫描公网可访问的未受保护MongoDB数据库,删除存储数据后植入比特币勒索信息。
MongoDB实例遭入侵分析
最新证据显示,尽管单次勒索金额通常仅为500至600美元,此类攻击仍保持极高盈利性。从技术角度看,攻击模式虽简单但极具操作性:威胁行为者使用自动化扫描工具识别27017端口上未启用认证的MongoDB服务。
建立访问后,攻击者会先导出或枚举数据库内容评估价值,随后执行数据销毁操作。所有集合和数据库会被系统性地整体删除,之后在MongoDB实例中植入勒索信息。
受害者将收到威胁:除非在48小时时限内向攻击者控制的比特币钱包付款,否则数据将被永久删除。实际入侵分析显示,约45.6%完全暴露的MongoDB实例已存在勒索信息,表明受害者要么已支付赎金,要么数据遭不可恢复销毁。
值得注意的是,超过98%的勒索支付流向单一比特币钱包,暗示存在主导性威胁行为者协调运作这一盈利性活动。全网扫描发现超过20万台MongoDB服务器可公开访问,其中约3100个实例确认完全暴露且缺乏访问控制。
漏洞根源与传播途径
这种风险态势的根本原因在于部署配置错误而非软件漏洞。Docker镜像和复制粘贴的基础设施配置通常默认将MongoDB绑定到所有网络接口(0.0.0.0)且不强制认证。开发者在生产环境中部署这些模板时,常无意间将27017端口暴露于外网,导致未受保护数据库可直接被互联网访问。
对Docker Hub容器仓库的分析发现,30个不同命名空间存在763个配置不安全的MongoDB镜像。两个下载量均超1.5万次的流行项目包含完全相同的未认证数据库绑定配置,证明不安全的默认设置如何通过流行基础设施模板传播。
关键缓解措施
根据Flare建议,企业必须立即审计MongoDB部署情况以识别公开暴露实例。关键预防措施包括:将MongoDB限制在私有网络、启用SCRAM认证与基于角色的访问控制、配置防火墙规则阻止27017端口的公网入站流量、替换默认Docker镜像为强化配置版本。
通过Shodan Monitor等持续暴露监测工具和云安全态势管理平台,可在配置错误被利用前快速发现风险。虽然MongoDB目前不存在已知的认证前远程代码执行漏洞,但单个0Day漏洞就可能立即导致数十万台服务器遭受大规模自动化攻击。企业必须优先实施网络分段和即时认证强制执行,以消除这一持续威胁。