Des centaines de bases MongoDB attaquées à cause de mauvaises configurations

Des centaines de bases de données MongoDB sont actuellement attaquées par un pirate, qui en remplace le contenu et demande une rançon. Une attaque qui ne se base sur aucun outil particulier, mais exploite des défauts de configuration.

Un pirate, se faisant appeler Harak1r1, s’attaque actuellement à des centaines de bases de données MongoDB dans lesquelles certaines étapes simples de configuration n’ont pas été accomplies par les administrateurs. Ces bases sont ainsi laissées ouvertes aux quatre vents, ceux qui savent où chercher pouvant s’y connecter depuis Internet sans que des identifiants particuliers ne soient réclamés.

Un vol de données contre une petite rançon en bitcoin

L’attaque a été découverte il y a maintenant un peu plus d’une semaine par Victor Gevers de la GDI Foundation, et ne cesse depuis de faire des victimes. Quand le chercheur s’est aperçu de la situation le 27 décembre, environ 400 bases avaient été attaquées. Quelques heures plus tard, le nombre de victimes était grimpé à 1 800.

Le schéma d’attaque est simple. Le pirate s’introduit dans la base et en télécharge les données. Puis il remplace chaque champ par un message, le mot « WARNING » apparaissant un peu partout. Il ne chiffre pas les données mais réclame une rançon de 0,2 bitcoin, soit un peu plus de 200 euros actuellement, le cours de la crypto-monnaie ne cessant de grimper.

Harak1r1 a obtenu la liste de ses victimes en scannant tout simplement Internet. Il ne s’agit pas d’un ransomware, puisqu’à aucun moment un malware n’intervient. Le pirate n’utilise pas non plus d’outil spécifique : il se contente de se connecter et de réaliser des opérations assez classiques sur une base de données, via un simple script en Python.

Une sécurité qui ne préoccupe pas assez

Qui est à blâmer ? Essentiellement les entreprises et autres structures qui déploient ces instances MongoDB, souvent à travers des services de cloud. Elles ne s’occupent plus après de la version utilisée, ni même d’une configuration adaptée. Or, les moutures de MongoDB se sont enchainées, notamment pour contrebalancer un problème récurrent de configuration. Mais ces versions n’ont pas été installées. Pour Victor Gevers, 78 % des instances ouvertes via Amazon Web Services par exemple sont vulnérables.

L'information n'est pas étonnante en elle-même. En février 2015, un groupe d'étudiants allemands avait déjà tiré la sonnette d'alarme sur ce problème : environ 40 000 bases étaient librement accessibles sur Internet. Une partie a visiblement été reprise en main, mais il resterait encore dans les 30 000 bases concernées, selon Bleeping Computer.

Environ 2 000 victimes ont été recensées à ce jour. Parmi elles, seules 18 ont accepté de payer pour l’instant (selon l’adresse Bitcoin utilisée), encouragées probablement par la faible somme demandée. L’immense majorité a résisté au chantage, et il est probable que des sauvegardes récentes des bases attaquées aient permis de gérer le problème. À condition de revoir la configuration de MongoDB et, encore mieux, de mettre à jour la version utilisée.

Quelques conseils simples de vérification et de protection

Dans tous les cas, aucun contact extérieur ne devrait être autorisé sur les bases de données, à moins qu’il ne soit expressément autorisé. Le fichier de configuration de MongoDB doit donc être édité et le paramètre « auth » doit passer en « true ». Il est également conseillé de configurer le trafic sur le port 27017, utilisé par MongoDB pour communiquer à distance.

Sachez que l’on peut également vérifier si la base de données a été visitée, notamment par Harak1r1 ou un autre pirate. Il faut commencer par inspecter la liste des comptes et chercher un éventuel utilisateur avec droits administrateur qui n’aurait rien à faire là. Les journaux de MongoDB gardent également la trace des connexions extérieures. On peut également vérifier GridFS à la recherche de fichiers qui auraient été entreposés.

Autant de conseils qui sont fournis par le site officiel de MongoDB, autour d’un guide des bonnes pratiques. Au vu du danger actuel, certains auraient d’ailleurs tout intérêt à se replonger dans ses explications.