Giriş
Gelişen teknoloji ile birlikte, veri tabanı sistemlerinin güvenliğini sağlamak her zamankinden daha kritik bir hale gelmiştir. Son dönemde, korumasız MongoDB örneklerine yönelik artan veri fidye saldırıları, siber güvenlik gözlemcilerinin dikkatini çekmektedir.
Saldırı Nasıl Çalışıyor?
Tehdit aktörü, otomatik veri fidye saldırıları gerçekleştirmekte ve kurbanlardan verilerin geri kazanılması için genellikle düşük bir fidye talep etmektedir. Bu saldırılar, yanlış yapılandırmalar nedeniyle kısıtlamasız erişime izin veren 1,400 kadar korumasız sunucuyu hedef almıştır. Talep edilen fidye miktarı ortalama olarak 500$ civarında Bitcoin olarak belirtilmiştir.
Etkilenen Sistemler
Flare siber güvenlik şirketinden yapılan bir pentesting çalışması, bu tür saldırıların devam ettiğini fakat daha küçük ölçeklerde gerçekleştiğini ortaya koymuştur. Araştırmacılar, üzerinde operasyonel bilgiler bulunan 100,000’den fazla, kimlik doğrulama olmaksızın erişilebilen 3,100 MongoDB sunucusu tespit etmiştir.
- %45.6’sının saldırıya uğradığı ve veritabanlarının silindiği görülmüştür.
- Fidye notlarında genellikle 0.005 BTC (tahminen 500-600$ USD) talep edilmiştir.
CVE’ler ve Güvenlik Açıkları
Siber güvenlik araştırmaları, siber saldırılara maruz kalan sunucuların büyük bir kısmının eski sürümler üzerinde çalıştığını ve bu sürümlerin n-day zafiyetlerine karşı savunmasız olduğunu göstermektedir. Ayrıca, bu sunucular genellikle uzaktan kod çalıştırma (RCE) sağlamamakla birlikte, hizmet reddi saldırıları için istismar edilebilir.
- 5 farklı cüzdan adresi üzerinden talep edilen fidyelerin %98’inde aynı adres kullanılmıştır. Bu, tek bir tehdit aktörünün bu saldırılara odaklandığını göstermektedir.
Çözüm ve Korunma
Flare, MongoDB yöneticilerine şu önerilerde bulunmaktadır:
- MongoDB örneklerinin halka açılmasından kaçınılmalıdır.
- Güçlü kimlik doğrulama yöntemleri kullanılmalıdır.
- Güvenlik duvarı kuralları ve Kubernetes ağ politikaları uygulanmalı, yalnızca güvenilir bağlantılara izin verilmelidir.
- Yapılandırmalar, dağıtım kılavuzlarından doğrudan kopyalanmamalıdır.
- MongoDB, en güncel versiyona güncellenmeli ve sürekli izlenmelidir; eğer bir maruziyet tespit edilirse, kimlik bilgileri değiştirilmelidir.
Sonuç
MongoDB sunucularınızı güvenli hale getirmek için bir an önce güncellemelerinizi yapın ve halk erişimine kapatın. Ayrıca, kötü niyetli etkinlikleri tespit etmek adına günlük kayıtlarınızı düzenli olarak kontrol edin. Alınacak önlemler, veri güvenliğinizi sağlamada kritik rol oynayacaktır.
