В тысячах баз данных компаний на территории РФ обнаружен бэкдор

отметили
37
человек
в архиве
В тысячах баз данных компаний на территории РФ обнаружен бэкдор

Исследователь обнаружил бэкдор-аккаунт в более чем 2 тыс. незащищенных базах данных MongoDB, принадлежащих различным компаниям.

Исследователь безопасности из Нидерландов Виктор Геверс (Victor Gevers)наткнулсяна учетную запись, используемую злоумышленниками в качестве бэкдора для доступа к серверам местных и зарубежных компаний, работающих в России. Учетная запись была обнаружена в доступных через интернет незащищенных базах данных MongoDB. Любой обнаруживший ее киберпреступник мог беспрепятственно получить доступ к серверам тысяч компаний на территории РФ.

Сначала Геверс увидел учетные данные в таблице пользователей на российском сайте лотереи, а затем нашел этот же бэкдор-аккаунт admin@kremlin.ru в более чем 2 тыс. незащищенных базах данных MongoDB, принадлежащих различным компаниям (банкам, телекоммуникационным компаниям и даже Disney Russia). Более того, исследователь обнаружил учетную запись в незащищенной базе данных MongoDB, используемой Министерством внутренних дел Украины для ведения Единого реестра досудебных расследований.

Поскольку Геверс является исследователем безопасности, а не «хакером», его исследование не включало просмотр журналов серверов компаний. В связи с этим узнать точное предназначение бэкдора он не смог. Киберпреступники могли использовать его как для похищения корпоративных (финансовых) данных, так и для их подмены.

Добавил Gig Gig 29 Января
Комментарии участников:
oleg_ws
+2
oleg_ws, 29 Января , url

Так что пользуйтесь старым добрым бесплатным MySQL, хотя он теперь и у Oracle

Serge51
-1
Serge51, 29 Января , url

Монга это nosql. Хотя недавно они отказались же от лицензии gpl, теперь многие думают куда переходить.

oleg_ws
0
oleg_ws, 29 Января , url

Ну так я не о совместимости говорю

fStrange
-1
fStrange, 29 Января , url

зачем предлагать реляционную бд, на замену нереляционной? Есть бесплатные nosql аналоги Рэдис, Мемкеш.

oleg_ws
0
oleg_ws, 29 Января , url

А есть уверенность, что там таких же закладок нет?

istinspring
0
istinspring, 29 Января , url

да там не закладки. в монге если конфиг править кривыми руками там можно выстрелить себе в ногу разрешив доступ всем подряд извне (щаз может уже и нельзя). обычно это не проблема для тестирования. и таких скелетов тестовых деплоев в интернетах навалом, особой ценности они не представляют (хотя наверняка есть и редкие исключения), те кто чем-то занимается посерьезнее деплоят свои базы данных как положено.

oleg_ws
0
oleg_ws, 29 Января , url

Да в курсе я. Смайлик не поставил и все сразу всерьез приняли :))))

Да в той же mysql я также могу открыть доступ со всех IP и пароль на root не задать и порт стандартный будет — взлом 100% :)))  А phpMyAdmin вообще до некоторых вресий дырявый был :(((

istinspring
0
istinspring, 29 Января , url

глубокие мысли от говнодела уровня фстренджа. ты даже в сфере своей профессиональной деятельности не демонстрируешь никакой компетентности, что уж говорить про более серьезные вещи типа госуправления, экономики и геополитики.

сцуко сравнивать key-value базы данных с документным хранилищем :facepalm:

Serge51
-2
Serge51, 29 Января , url

А какая связь? Вон Путин с Медведевым даже словей таких не знают, как редис, но управляют страной.

istinspring
0
istinspring, 29 Января , url

так им и не нужно таких слов знать для того чтобы заниматься менеджментом.

так же и ПМы есть которые о таких вещах только слышали но тем не менее менеджат коммерческие проекты.

fStrange
-4
fStrange, 29 Января , url

:) таец дауншифтер ты дебил. Свои претензии предъявляй к тому кто предложил монгу на мускул менять, а лишь потом в мою сторону роток разевай.

istinspring
0
istinspring, 29 Января , url

:) грузин перебежчик ты дебил. Сам же показал свою техническую безграмотность. Твой визг лишь забавляет меня.

istinspring
0
istinspring, 29 Января , url

и че? этой новости уже много лет. очень старые версии — скелеты каких-то макетов приложений. «на территории РФ» да на всех территориях.

www.bleepingcomputer.com/news/security/mongodb-databases-held-for-ransom-by-mysterious-attacker/

2017 год

такие же скелеты есть и для других баз данных вроде elasticsearch и т.д.

Gig
0
Gig, 29 Января , url

 Это другая уязвимость https://twitter.com/0xDUDE/status/1089542680009474049

istinspring
0
istinspring, 29 Января , url

The backdoor account was found inside thousands of MongoDB databases that had been left exposed online without a password.

 

весьма вероятно сами же наляпали аккаунтов на базах данных.

 

admin@kremlin.ru ну-ну

istinspring
0
istinspring, 29 Января , url

если базы данных и так доступны по дефолту зачем там ляпать аккаунты еще. пипец. 

короче суть то в том, что все это сканируется блэк хэт хаккерами (а не вайт хэт как господин на бюджете правительства нидерландов) с завидной регулярностью, задача эта не такая уж сложная nmap в зубы и терпение, возможно там и скрипты готовые есть 

(да, есть nmap.org/nsedoc/scripts/mongodb-databases.html )

которые уже потом делают свои дела. т.к. скрипты массовые весьма вероятно делаются странные вещи типа добавления новых записей, создание коллекций и т.д. возможно оставляя записи имеющие смысл для популярных CSM или других опен сурс проектов сверху монгодб. Т.к. ооочень вероятно что все это находится в паблик домэйн много скрит киддис делают это без особого смысла, оставляя несколько записей с разными логинами.

да и вообще 

источник: pbs.twimg.com

глядя на это говно. тип смотрит тестовую базу данных (там же есть стэйджинг и продакшн) которая используется для тестирования. канешно админ@кремлин.ру надо иметь доступ к тестовой базе данных каких-то бичей из столото.

istinspring
0
istinspring, 29 Января , url

это та же «уязвимость». а точнее безалаберность когда базы данных деплоят с дефолтными настройками открывая коннекшн для всего мира.

istinspring
0
istinspring, 29 Января , url

От уровня суждений этого вайт-хет «хаккера» блевать хочется, он реально думает что кремль требует доступы к базам данных у всего бизнеса и юзает один и тот же аккаунт.

Serge51
+1
Serge51, 29 Января , url

После расследований насчёт Петрова и боширова, у которых, например, паспорта отличались на последнюю цифру и прочих чеков на такси из гру, у других задержанных разведчиков, я бы не стал кивать на профессионализм власти.

istinspring
0
istinspring, 29 Января , url

что кремль просит доступ к монге у дисней раша? так в том то и дело что кремлю это все нахер не надо.

blogman
0
blogman, 29 Января , url

kremlin.ru- да ладно? а чё не putin@kremlin.ru? Кто так учетку то называет?

Вот у меня в базе было что то типа $SYSTEM_42342341123 и хрен его знает то ли системная учетная запись, то ли уже вломали)



Войдите или станьте участником, чтобы комментировать