|
|
51CTO旗下网站
|
|
开户注册送38体验金端

MongoDB勒索电子游艺免费申请彩金蔓延原因:不安全配置

电子游艺免费申请彩金者已经发现很多MongoDB配置存在缺陷,而这为勒索电子游艺免费申请彩金打开了大门。

作者:Michael Heller来源:TechTarget中国|2017-02-06 11:08

电子游艺免费申请彩金者已经发现很多MongoDB配置存在缺陷,而这为勒索电子游艺免费申请彩金打开了大门。

安全研究人员兼微软开发人员Niall Merrigan一直在追踪MongoDB勒索电子游艺免费申请彩金事件,有一天,他突然看到电子游艺免费申请彩金次数从12000增加到27633。与勒索软件电子游艺免费申请彩金不同,其中新用户注册送47元彩金被加密,在这种电子游艺免费申请彩金中,电子游艺免费申请彩金者可访问新用户注册送47元彩金库、复制文件、删除所有内容并留下勒索字条——承诺在收到赎金后归还新用户注册送47元彩金。

MongoDB勒索电子游艺免费申请彩金蔓延原因:不安全配置

“这里的问题在于,人们通常会快速设置好新用户注册送47元彩金库,并开始构建应用,而没有适当的安全考虑,”Merrigan称,“在很多情况下,他们并不知道他们必须设置身份验证,而在默认情况下并没有启用。”

独立安全研究人员Victor Gevers称,MongoDB配置中糟糕的身份验证政策是允许电子游艺免费申请彩金者访问新用户注册送47元彩金库的主要缺陷。

“这些错误配置允许(任何人)持有完全的管理权限来访问新用户注册送47元彩金库,而无需身份验证,”Gevers称,“因此,这是新用户注册送47元彩金库所有者的责任,他们没有为面向互联网的系统正确配置新用户注册送47元彩金,当你启动漏洞扫描器时就能发现这些漏洞,这并不是多么困难的事情。”

Fidelis Cybersecurity公司威胁系统经理John Bambenek称:“主要的问题是,人们在配置面向互联网的服务时,并没有真正试图保护和维护它们。”

“在很多时候,企业开发工作的重点是快速完成,而不是确保事物在没有身份验证的情况下不被访问,”Bambenek称,“在这种情况下,很多这些MongoDB新用户注册送47元彩金库是通过安装器来安装,而没有为管理员账号设置密码,这让所有人都可以访问新用户注册送47元彩金库。”

ERPScan公司高级业务应用安全研究人员Vahagn Vardanyan表示,电子游艺免费申请彩金者在这些电子游艺免费申请彩金中并没有使用任何零日漏洞。

“在默认情况下,MongoDB安装后并不需要身份验证就可连接,”Vardanyan表示,“新用户注册送47元彩金库管理员没有对其进行安全地配置,让电子游艺免费申请彩金者有机可乘。”

Gevers证实MongoDB中存在已知漏洞,不过尚没有迹象表明所调查的电子游艺免费申请彩金中使用了任何漏洞。

“在这种情况下,所有电子游艺免费申请彩金者的电子游艺免费申请彩金做法几乎相同。他们试图通过MongoDB复制该新用户注册送47元彩金库,然后删除新用户注册送47元彩金库,创建新的新用户注册送47元彩金库,并留下勒索信息,最后在他们退出之前清除日志,”Gevers称,“由于日志保持不变,我们可以从电子游艺免费申请彩金发起的时候提取相同的电子游艺免费申请彩金模式和IP地址。并没有其他证据表明电子游艺免费申请彩金者已经通过创建管理员用户部署了持续后门程序或者shell。”

根据Merrigan和Gevers表示,面临安全风险的MongoDB数量很难预计。通过Shodan.io,Merrigan称大约有5200台服务器可访问互联网而没有启用身份验证。而Gevers通过搜索Shodan得出的新用户注册送47元彩金约为4800台,但根据ZoomEye的新用户注册送47元彩金显示,可能有高达99000个糟糕的MongoDB配置。

威胁情报平台提供商Anomali公司首席威胁研究人员Aaron Shelmire称,企业拥有糟糕的MongoDB配置太常见了。

“每两年就会出现新的技术堆栈,该行业似乎花了很多时间来重新学习旧教训。但由于简单的安全问题而导致这么多安全事故,这真的非常令人惊讶,”Shelmire称,“对于企业来说,确保安全性的最佳方法是限制这些服务对公司VPN背后主机的访问,定期备份这些新用户注册送47元彩金存储可减少受影响系统的影响。

” Merrigan称备份可帮助恢复“业务连续性”,但建议为MongoDB配置设置更好的身份验证政策。

“应使用最低权限概念,不要尝试锁定它;查看MongoDB指南来强化系统,特别是面向互联网的系统,当连接到互联网时,应假设每个人都在试图访问你的系统。”

【编辑推荐】

  1. 3.5万个MongoDB新用户注册送47元彩金库的约680TB新用户注册送47元彩金存被盗风险!
  2. MongoDB再出安全事故 5800万商业用户信息泄露
  3. MongoDB再出安全事故 5800万商业用户信息泄露
  4. 电子游艺免费申请彩金敲诈不耽误,一周拿下2.7万MongoDB新用户注册送47元彩金库
  5. 一场屠戮MongoDB的盛宴反思:超33000个新用户注册送47元彩金库遭入侵
【责任编辑:51CTO_OS TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢
24H热文
一周话题
本月最赞

订阅专栏+更多

活学活用 Ubuntu Server

活学活用 Ubuntu Server

实战直通车
共35章 | UbuntuServer

218人订阅学习

Java EE速成指南

Java EE速成指南

掌握Java核心
共30章 | 51CTO王波

83人订阅学习

Mysql DBA修炼之路

Mysql DBA修炼之路

MySQL入门到高阶
共24章 | 武凤涛

472人订阅学习

读 书 +更多

软件设计师考试全真模拟试题及解析

本书是按照全国计算机技术与软件专业技术资格(水平)考试《软件设计师考试大纲》的要求,参照《软件设计师教程》及近年来考试试题编写的,...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客

博聚网