文章总结： Flare研究显示超20万台MongoDB实例暴露公网，其中3100台无认证，近半数已被入侵并勒索0.005BTC。攻击者利用配置漏洞清空数据，主要由单一威胁行为体实施。另有大量设备存在旧版本漏洞。建议管理员避免不必要暴露，启用强认证与防火墙策略，更新版本并监控日志以防范勒索攻击。 综合评分： 89 文章分类： 威胁情报,数据安全,漏洞预警,数据泄露,安全运营

暴露的 MongoDB 实例仍然是数据勒索攻击的目标

Rhinoer Rhinoer

犀牛安全

2026年2月6日 00:00 江苏

黑客针对暴露的 MongoDB 实例发起自动化数据勒索攻击，向数据所有者索要低额赎金以恢复数据。

攻击者将目标锁定在最容易下手的目标上，即那些由于配置错误而存在安全漏洞、允许不受限制访问的数据库。大约1400台暴露的服务器已被攻破，勒索信要求以比特币支付约500美元的赎金。

直到2021年，网络攻击层出不穷，导致数千个数据库被删除，攻击者索要赎金以恢复信息[ 1,2 ]。有时，攻击者甚至会直接删除数据库，而不提出任何经济要求。

网络安全公司 Flare 的研究人员进行的渗透测试表明，这些攻击仍在继续，只是规模较小。

研究人员发现了超过 208,500 台公开暴露的 MongoDB 服务器。其中，100,000 台服务器暴露了运行信息，3,100 台服务器无需身份验证即可访问。

Flare公司检查时发现，拥有不受限制访问权限的用户中，近一半（45.6%）的系统已被入侵。数据库已被清空，并留下了勒索信。

对赎金信的分析表明，大多数赎金信要求在 48 小时内支付 0.005 BTC。

Flare 的报告指出：“攻击者要求向指定的钱包地址支付比特币（通常约为 0.005 BTC，相当于今天的 500-600 美元），并承诺恢复数据。”

但是，并不能保证攻击者拥有这些数据，或者即使付钱也会提供可用的解密密钥。

在泄露的勒索信中，只有五个不同的钱包地址，其中一个地址在约 98% 的案例中都出现，这表明是同一个威胁行为者专注于这些攻击。

Flare 还评论了其余暴露的实例，这些实例似乎没有受到攻击，尽管它们暴露在外且安全措施很差，他推测这些实例可能已经向攻击者支付了赎金。

除了身份验证措施不完善之外，研究人员还发现，近一半（95,000台）暴露于互联网的MongoDB服务器运行的是易受 n day 漏洞攻击的旧版本。然而，这些漏洞大多仅限于拒绝服务攻击，并不支持远程代码执行。

Flare 建议 MongoDB 管理员避免将实例暴露给公众，除非绝对必要；使用强身份验证；强制执行防火墙规则和 Kubernetes 网络策略，只允许受信任的连接；避免从部署指南中复制配置。

MongoDB 应更新至最新版本，并持续监控安全漏洞。一旦发现安全漏洞，需要轮换凭据并检查日志以查找未经授权的活动。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《暴露的 MongoDB 实例仍然是数据勒索攻击的目标》