Segelintir peretas kini berhasil membajak dan melenyapkan unsecured MongoDB database. Namun mereka menyalin alias memback-up terlebih dahulu sebelum melenyapkannya. Dan mereka meminta tebusan sekitar 0.2 Bitcoins (hampir US $211) untuk mengembalikan data yang hilang. Jadi, admin yang tidak memiliki back-up dari database mungkin akan nepak tarang kalo bahasa sundanya 😀 haha

Penliti keamanan dan Co-Founder GDI Fondation Victor Gevers (@0xDUDE) menemukan serangan ini. Dan memberitahu para owner yang menginstal MongoDB tanpa perlindungan password via Twitter.

Gevers mengidentifikasi hampir 200 instalasi MongoDB yang telah terhapus dan menjadi sandera untuk ditebus. Sementara angka tersebut mencapai sekitar 2.000 database.

Serangan-serangan ini telah berlangsung selama lebih dari seminggu yang menargetkan server di seluruh dunia. Hal ini diyakini dengan alih-alih enkripsi data. Penyerang dengan kode “harak1r1” menjalankan script yang menggantikan isi dari database dengan catatan tebusan. Catatan tebusan tersebut menyampaikan:

“SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE!”

16 Korban Dikabarkan Sudah Membayar Tebusan Ransom

Tampaknya bahwa sekitar 16 organisasi sudah membayar uang tebusan ke penyerang.

Matherly sudah memperingatkan bahaya instalasi MongoDB sejak tahun 2015. Yang memungkinkan penyerang untuk remote access database melalui Internet tanpa perlu berbagai bentuk otentikasi.

Matherly mengatakan sekitar 30.000 MongoDB berjalan pada server cloud. Seperti Amazon, Digital Ocean, Linode, dan layanan Internet & penyedia hosting OVH. Dan melakukannya tanpa otentikasi, membuat layanan cloud bug dari datacenter hosting.

Bagaimana Cara Mengetahui Bahwa Kamu Sudah Teretas?

  • Periksa akun MongoDB untuk melihat jika tak ada yang menambah secret (admin) user.
  • Periksa GridFS untuk melihat jika seseorang menyimpan file apapun di sana.
  • Memeriksa file log untuk melihat siapa yang mengakses MongoDB.

Bagaimana Cara Melindungi Diri?

  • Mengaktifkan otentikasi yang memberikan pertahanan secara mendalam. Mengedit file konfigurasi MongoDB kamu : auth = true.
  • Gunakan firewall – Nonaktifkan akses remote ke MongoDB jika memungkinkan. Admin disarankan untuk menggunakan firewall untuk melindungi instalasi MongoDB dengan memblokir akses ke port 27.017.
  • Mengkonfigurasi Bind_ip – Batasi akses ke server dengan mengikat pada alamat IP lokal.
  • Upgrade – Administrator sangat dianjurkan untuk meng-upgrade versi dari software ke rilisan paling baru.

Administrator dianjurkan untuk mengikuti langkah-langkah keamanan yang disediakan oleh MongoDB.


Like it? Share with your friends!

Muhammad Zaky Zulfiqor

I just simple person who like photography, videography, code, and cyber security enthusiast.

Comments

error: Content is protected !!