数据安全-大量俄互联网暴露数据库遭入侵

概述

自俄乌冲突以来, 90%俄罗斯互联网暴露数据库遭匿名者和其他亲乌黑客组织攻陷,造成大量数据泄露和文件删除。遭攻击的数据库中文件被重命名为“普京停止战争”进行示威。

背景

自俄乌冲突开始,Anonymous黑客组织和其他团体的成员一直针对俄罗斯官方媒体、政府网站以及互联网暴露或存在配置错误的数据库进行攻击。

最新事件

截至3月7号,据不完全统计,匿名者和其他亲乌组织攻陷了俄罗斯90%互联网暴露的数据库。

被攻击的数据库中的文件多数被删除,文件夹被重命名为“Putin stop this war”、“stop war”、“glory to Ukraine”、“no war”和“HackedByUkraine.”等。

未被删除的文件多数包含对攻击者仍有价值的信息,例如:俄罗斯邮件提供商VK(也被称为mail.ru集团,提供电子邮件服务,同时运营俄三大社交网站VK、Odnoklassniki和Moi Mir)服务器的大量密钥、数十万条俄罗斯个人信息、亲乌克兰数据等,匿名者及其他组织存在利用这些数据进一步发起钓鱼攻击或直接向目标发送恶意软件以试图感染他们设备的风险。

事件分析

针对互联网暴露数据库的攻击不是本次俄乌冲突的个例。[ https://www.websiteplanet.com/blog/cyberwarfare-ukraine-anonymous/]据第三方安全公司研究人员统计,“自俄罗斯袭击乌克兰以来,匿名者和其他亲乌组织攻陷了俄罗斯90%暴露在互联网上的数据库,同时这些数据库存在配置错误的问题”。

“数据库配置错误”通常指当管理员或公司在没有任何密码或安全身份验证的情况下将其数据库开放给公众访问时,就会发生配置错误。当互联网暴露的数据库存在错误配置时,攻击者很容易通过shodan等搜索引擎访问找到这些数据库,并很轻易入侵获取其中存储的敏感数据。

因为网络管理者配置不当,直接将数据库暴露到互联网的情况不仅仅发生在俄罗斯和乌克兰。据绿盟威胁情报中心空间测绘系统的监测,当前全球在互联网上暴露数据库的问题普遍存在,面临很大的安全风险,暴露数据库分布如下。

安全启示

随着互联网的快速发展,企业资产的规模和边界在快速扩大。企业资产规模的快速增长导致资产管理规模和难度不断增加。更重要的是,云的广泛使用使得越来越企业资产部署到了公有云上,资产部署范围的扩大,导致资产访问控制越来越困难。稍有不注意就会存在因为“误配置”被黑客通过公网直接访问获取数据的可能。例如本次俄罗斯暴露在公有云上的数据库,90%被亲乌黑客组织入侵和进行了数据破坏。

因此,直接暴露在互联网的数据库存在重大的安全风险,这些数据库很容易被攻击者发现并攻击。本次俄乌冲突事件中,这里数据库也成为了攻击的重点。

建议各国家重要单位采用空间测绘技术梳理在互联网上暴露的数据库资产,对非必要部署在公网上的数据库服务进行关闭。如必要暴露在互联网上,也应该对这些数据库系统进行强制访问控制(例如限制访问源IP、复杂口令认证),并对数据库进行及时升级和漏洞审查,避免数据库被攻陷后带来的重大影响。同时,各国监管部门对其管辖范围内资产进行周期性梳理、风险评估和引导处置,监督和引导重要企业数据库资产暴露于公网的情况。

绿盟网络空间测绘系统采用先进的网络空间测绘技术,可以对全球网络空间(IPv4/IPv6)的各类资产进行精确识别,帮助资产所有者进行资产梳理和防御。

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author