威胁行为者正通过大规模自动化勒索软件活动，持续攻击暴露在互联网上的MongoDB实例。攻击模式高度一致：攻击者扫描公网可访问的未受保护MongoDB数据库，删除存储数据后植入比特币勒索信息。

MongoDB实例遭入侵分析

最新证据显示，尽管单次勒索金额通常仅为500至600美元，此类攻击仍保持极高盈利性。从技术角度看，攻击模式虽简单但极具操作性：威胁行为者使用自动化扫描工具识别27017端口上未启用认证的MongoDB服务。

建立访问后，攻击者会先导出或枚举数据库内容评估价值，随后执行数据销毁操作。所有集合和数据库会被系统性地整体删除，之后在MongoDB实例中植入勒索信息。

受害者将收到威胁：除非在48小时时限内向攻击者控制的比特币钱包付款，否则数据将被永久删除。实际入侵分析显示，约45.6%完全暴露的MongoDB实例已存在勒索信息，表明受害者要么已支付赎金，要么数据遭不可恢复销毁。

值得注意的是，超过98%的勒索支付流向单一比特币钱包，暗示存在主导性威胁行为者协调运作这一盈利性活动。全网扫描发现超过20万台MongoDB服务器可公开访问，其中约3100个实例确认完全暴露且缺乏访问控制。

漏洞根源与传播途径

这种风险态势的根本原因在于部署配置错误而非软件漏洞。Docker镜像和复制粘贴的基础设施配置通常默认将MongoDB绑定到所有网络接口（0.0.0.0）且不强制认证。开发者在生产环境中部署这些模板时，常无意间将27017端口暴露于外网，导致未受保护数据库可直接被互联网访问。

对Docker Hub容器仓库的分析发现，30个不同命名空间存在763个配置不安全的MongoDB镜像。两个下载量均超1.5万次的流行项目包含完全相同的未认证数据库绑定配置，证明不安全的默认设置如何通过流行基础设施模板传播。

关键缓解措施

根据Flare建议，企业必须立即审计MongoDB部署情况以识别公开暴露实例。关键预防措施包括：将MongoDB限制在私有网络、启用SCRAM认证与基于角色的访问控制、配置防火墙规则阻止27017端口的公网入站流量、替换默认Docker镜像为强化配置版本。

通过Shodan Monitor等持续暴露监测工具和云安全态势管理平台，可在配置错误被利用前快速发现风险。虽然MongoDB目前不存在已知的认证前远程代码执行漏洞，但单个0Day漏洞就可能立即导致数十万台服务器遭受大规模自动化攻击。企业必须优先实施网络分段和即时认证强制执行，以消除这一持续威胁。

参考来源：

Hackers Attacking MongoDB Instances to Delete Database and Add Ransom Note

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）