Опасный бэкдор открыл доступ к базам данных

Использование настроек по умолчанию привело к появлению уязвимости

Серверы более 2 тысяч российских организаций оказались скомпрометированы из-за бэкдор-аккаунта. С помощью размещённой в Сети учётной записи «admin@kremlin.ru» любой киберпреступник мог беспрепятственно проникнуть в незащищённые базы данных MongoDB и получить доступ к конфиденциальной информации банков, учреждений финансового сектора и телекоммуникационных компаний.

Впервые опасная учётная запись была идентифицирована на официальном ресурсе российских государственных лотерей «Столото», а затем и в других открытых базах с настройками, заданными по умолчанию.

О последствиях произошедшего инцидента пока не сообщается. Невыясненными остаются и мотивы появления бэкдора. Предполагается, что его могли использовать для кражи или подмены корпоративных данных и сведений о проведённых транзакциях.

По мнению специалистов компании ARinteg, подобные ситуации являются следствием нарушения элементарных правил информационной безопасности. Для предупреждения заражения вредоносными программами и исключения несанкционированного проникновения важно организовать работу по контролю за привилегированными учётными записями.

Кроме того, снизить риски повторения подобных инцидентов поможет внедрение целого класса решений: PUM, SIEM и AntiAPT. Наряду с оптимизацией управления событиями ИБ, автоматизированные системы позволят своевременно прогнозировать появление атак, оперативно реагировать на них и эффективно защищать ИТ-инфраструктуру.