Depuis une dizaine de jours maintenant, une série d’attaques vise les détenteurs de bases de données MongoDB exposées sur internet.
Les attaques consistant à supprimer le contenu des bases contre rançon. (https://twitter.com/0xDUDE/status/813865069218037760).
Les installations de MongoDB concernées sont toujours anciennes, créées le plus souvent dans des instances sur des plateformes de cloud.
Rarement mises à jour, leurs configurations sont souvent minimales et autorisent bien souvent les connexions à distance sans identification.
Nous rappelons à ce titre que depuis la version 3.4 de MongoDB il est désormais possible de configurer, sans arrêt de service, des mécanismes d’authentification permettant en grande partie de se prémunir de ce type d’incidents.
D’une manière générale, il est de rigueur pour toute installation, à fortiori exposée sur internet, de :
- Mettre en œuvre les mécanismes de gestion d’accès et d’authentification
- Limiter autant que faire se peut l’exposition directe à internet
- Mettre en œuvre d’une politique rigoureuse d’audit d’activité
- Envisager l’encryptions des données et des communications
Vous souhaitez savoir si vos bases MongoDB sont susceptibles d’être vulnérables ?
Vous voulez renforcer la sécurité de vos données ?