Pour MongoDB, l’ignorance est mère de tous les maux

0

MongoDB, une des bases de données NoSQL les plus populaires de ces dernières années, fait l’objet d’un piratage de grande ampleur. Ce piratage n’est hélas pas une surprise selon beaucoup de monde.

En 2015, le site Hackernews a été le premier à tirer la sonnette d’alarme en ce qui concerne MongoDB. 600 To de données hébergées par la base de données NoSQL préférée des entreprises américaines ont été repérées comme étant accessibles sans mot de passe. « Il ne s’agit pas d’une faille du logiciel MongoDB, mais d’une mauvaise configuration des fonctions de sécurité qui permet à un attaquant d’accéder aux bases de données sans utiliser un outil de piratage spécial », ajoute le site.

Peu de temps après, MongoDB publie une nouvelle version logicielle de sa base de données. En effet, la dernière version 3.4 permet d’activer l’authentification sur les systèmes non protégés. Comme on pouvait s’y attendre, la majeure partie des administrateurs ne s’est pas renseignée sur les nouvelles fonctions de sécurité apportées par la mise à jour. Il est possible aussi que certains n’ont pas pris la peine d’effectuer l’update car la migration depuis une version plus ancienne (ex : 2.7) vers une version 3.X peut s’avérer délicate à cause de changements majeurs (syntaxe ou comportement).

En décembre dernier, Victor Gevers, chercheur en sécurité, tire le deuxième signal d’alarme, annonçant que le danger était passé de son stade de menace potentielle à attaque en cours. Selon Gevers, l’appel à la vigilance a été bien plus entendue par les cybercriminels que par les administrateurs d’instances MongoDB. En effet, la course a été ouverte par un groupe qui se fait appeler « harak1r1 », ciblant les versions vieillissantes de MongoDB.

Ce qui impressionne le plus dans le cas de cette épidémie est la progression fulgurante du nombre d’instances compromises dans les deux dernières semaines. Le 3 janvier, 2.000 bases de données étaient sous le contrôle de « harak1r1 ». Selon Gevers et un autre chercheur en sécurité, Niall Merrigan, seulement deux semaines plus tard, ce nombre atteignait les 34 000.

Cette soudaine hausse est due au nombre croissant de groupes de cyber-délinquants qui se sont rendus compte de la simplicité d’exploitation de cette mauvaise configuration. Selon le tableau récapitulatif de Gevers et Merrigan, une vingtaine de groupes sont aujourd’hui impliqués dans l’attaque visant MongoDB. Parmi les plus couronnés de succès nous mentionnons Kraken, un groupe de cybercriminels responsable à lui seul de 21 000 infections.

 

Encore un ransomware ? Non, pas tout à fait…

Les médias communiquent sur ces incidents comme étant des attaques par ransomware, mais ce n’est pas le cas pour Kraken. Au lieu de chiffrer les données et de déployer un payload malicieux comme les autres rançongiciels de la saison (lire notre précédent article sur Popcorn Time ici), les cybercriminels utilisent un script qui remplace le contenu des bases de données par la demande de rançon.

En d’autres mots, ils exportent le contenu des bases non sécurisées de MongoDB, pour ensuite effacer les données trouvées et déposer un fichier comportant le contenu de la rançon.

Mais tout vient à point à qui sait… payer, n’est-ce pas ? Faux. Selon Gevers et Merrigan, certains groupes de cybercriminels se contentent tout simplement d’effacer les données (sans doute un simple oubli, totalement involontaire, du dump), rendant toute récupération de données impossible. Malheureusement, à ce jour, plus de 88 organisations ont cédé à payer le prix demandé et 12 d’entre elles n’ont pour l’instant reçu aucune réponse.

Les experts en sécurité informatique notent également que certains acteurs malveillants sont en concurrence les uns avec les autres. Il faut savoir que certains hackers n’hésiteront pas à remplacer les scripts contenant déjà une demande de rançon. Dans un tel champ de bataille, les victimes peuvent se retrouver dans la situation où les bitcoins sont versés à des individus qui ne détiennent même pas leurs données.

Vu les statistiques, les cybercriminels ne pourront pas continuer à tirer profit éternellement de cette manière. Selon John Matherly, le fondateur du moteur de recherche spécialisé Shodan, environ 50 000 serveurs MongoDB sont exposés sur Internet, dont plus de la moitié ont déjà été infectés. Toutefois, il semblerait que les pirates ne soient pas prêts à abandonner leur quête. C’est pourquoi, après avoir collecté plus de 9 000 bitcoins (ou 7 millions euro), Kraken cherche à extorquer encore plus des fonds par la mise en vente de son script.

Source : Bleeping Computer

Quand on laisse la porte ouverte aux pirates informatiques…

…il ne faut pas être surpris du résultat.

La réponse d’Andreas Nilsson, Responsable de Sécurité Produits chez MongoDB, face à ces vagues d’attaques vient dans une note de blog dans laquelle il explique aux administrateurs comment éviter ce type d’attaque : « Ces attaques peuvent être évitées grâce aux nombreuses protections de sécurité intégrées à MongoDB. Vous devez utiliser ces fonctionnalités correctement et notre documentation de sécurité vous aidera à le faire ».

Surprenant ou pas, MongoDB n’est pas moins sécurisé qu’une base de données MySQL: « C’est dans la nature d’un logiciel de base de données que les administrateurs puissent activer et désactiver certaines options. Ceci n’est pas spécifique à MongoDB et demeure important pour la façon dont de nombreuses applications peuvent être développées », déclarait un porte parole à New York.

Néanmoins, la riposte de certains acteurs informatiques a été plus qu’hostile. Très indigné, Chris Wysopal, Directeur Technique chez Veracode, n’est absolument pas d’accord avec cette logique de développement produit. Ce dernier essaye de souligner l’importance de sécuriser un logiciel dès sa conception :

Il semble que deux visions s’opposent ici : permettre une prise en main simplifiée et rapide de l’outil, en s’abstenant d’une configuration poussée au dépend de la sécurité, et fournir un outil robuste et sécurisé, avec une configuration restrictive, au dépend d’une prise en main immédiate.

L’essentiel dans l’immédiat est de pouvoir déterminer si vous avez été piratés. Pour ce faire, il suffit tout simplement de :

  1. Vérifier vos comptes MongoDB pour savoir si un autre compte admin a été ajouté ;
  2. Vérifier GridFS, l’outil permettant d’utiliser MongoDB en tant que système de fichiers, pour repérer si des éventuels fichiers ont été rajoutés sans votre implication ;
  3. Vérifier les logs pour savoir si vos instances MongoDB ont été accédées par une machine inconnue.

Enfin, si votre base de données ne fait pas partie des 34 000 serveurs compromis, il faut être conscient que, si vous ne faites rien, la situation va drastiquement changer dans un avenir relativement proche. Si cette vague d’exploitations dites « ransomwares » a été possible, c’est parce que les gens n’apprécient toujours pas l’importance de bonnes pratiques en cybersécurité à leurs juste valeur.

Voici quelques conseils à suivre si vous voulez empêcher un éventuel défrichage de vos données :

  1. Faire la mise à jour avec la dernière version de MongoDB ;
  2. Mettre en place l’authentification immédiatement ;
  3. Déconnecter la fonction d’accès à distance de la base de données si possible ;
  4. Bloquer le port par défaut de MongoDB ;
  5. Configurer Bind_ip pour limiter l’accès au serveur en liant des adresses IP locales.

 

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply