Durante los últimos días, dos investigadores han estado siguiendo de cerca la ola de ataques contra bases de datos MongoDB (bases no relacionales o NoSQL), que apuntan a decenas de miles de servidores con tácticas extorsivas.
Victor Gevers, presidente de GDI Foundation y abocado a la divulgación responsable de vulnerabilidades, junto a su colega Dylan Katz, han estado alertando en Twitter sobre estos ataques. La última oleada que registraron comprometió a 22.000 servidores, según reporta infosecurity magazine, y se suma a las que ambos investigadores vienen registrando.
La modalidad remite un poco al ransomware, sobre todo por el aspecto extorsivo. Los atacantes escanean internet en busca de bases de datos MongoDB que estén públicamente accesibles y usen configuraciones por defecto. Luego, borran sus datos y les dejan a sus dueños una nota que, traducida al español, dice:
"Tenemos tus datos. Tu base de datos fue respaldada en nuestros servidores. Si quieres restaurarla, envía 0.15 BTC [$650] y escríbeme al email, solo envía tu dirección IP y la información de pago. Los mensajes sin información de pago serán ignorados".
La frecuencia de estos ataques empezó a aumentar en diciembre de 2016, y desde entonces se calcula que cerca de 76.000 víctimas han pagado 24 bitcoins (más de 100.000 dólares) en rescates.
"Estos atacantes simplemente escanean toda la internet IPv4 en busca de una MongoDB que se ejecute en el puerto 27017. Cuando la encuentran, tratan de acceder a ella con un script que borra automáticamente la base de datos y crea una similar con solo un registro, que incluye la nota con el pedido extorsivo", le explicó Gevers a ZDNet.
Si bien esta vulnerabilidad no tiene que ver con el funcionamiento del motor de bases de datos no relacionales, lo cierto es que en el caso de MongoDB el motor se instala por defecto sin ningún tipo de control de acceso, ni siquiera una contraseña, por lo que si el puerto de la base queda expuesto a internet, cualquiera puede tener acceso directo a la información.
Lamentablemente es muy común que aplicaciones subidas a la nube, que utilizan estas bases de datos no relacionales, queden configuradas por defecto. Incluso muchos productos enlatados almacenan información en estas bases de datos y, si el administrador no se toma el tiempo de configurar correctamente el acceso, puede estar exponiendo su información sin siquiera saberlo.
Es importante entender que este problema no tiene que ver con el tipo de base de datos o el manejo de la información, sino que los ataques deben su éxito a que las bases de datos comprometidas tienen configuraciones por defecto y están completamente expuestas en internet, lo que nos lleva nuevamente a la importancia de proteger estos almacenes de información en forma adecuada.
De hecho, hace apenas dos días publicamos 5 consejos para mantener seguras las bases de datos, en vistas de que son un blanco atractivo para atacantes, al tiempo que constituyen el combustible de cualquier compañía hoy en día.
Por eso, para hacerles frente hace falta aplicar una estrategia de seguridad que no solo comprenda la prevención en múltiples capas, sino también la gestión de riesgos y procesos de respuesta a incidentes. Además, se recomienda hacer auditorías periódicas y mantener todos los sistemas y aplicaciones actualizados, de manera que se puedan detectar y corregir potenciales agujeros de seguridad.
En enero, MongoDB había publicado una serie de lineamientos para sus usuarios, asegurándoles que estarían a salvo si usaban las medidas de seguridad integradas en su servicio. Como de costumbre, la responsabilidad de la protección de la información es compartida entre el proveedor y el usuario, por lo que a estas medidas debe sumarse la gestión responsable de la herramienta.