مواء هو هجوم يستمر في اكتساب الزخم وهذا هو الحال لعدة أيام الآنتم الإفراج عن أخبار مختلفة التي العديد من الهجمات غير المعروفة تدمر البيانات في منشآت غير محمية Elasticsearch والوصول العام إلى MongoDB.
إلى جانب ذلك كما تم تسجيل حالات تنظيف معزولة (حوالي 3٪ من إجمالي الضحايا) لقواعد البيانات غير المحمية استنادًا إلى Apache Cassandra و CouchDB و Redis و Hadoop و Apache ZooKeeper.
حول مواء
يتم تنفيذ الهجوم من خلال روبوت يسرد منافذ شبكة DBMS عادي. أظهرت دراسة الهجوم على خادم مصائد مزيف أن يتم إجراء اتصال الروبوت من خلال ProtonVPN.
سبب المشاكل هو فتح وصول الجمهور إلى قاعدة البيانات بدون إعدادات المصادقة المناسبة.
عن طريق الخطأ أو الإهمال ، يقوم معالج الطلب بإرفاق نفسه ليس بالعنوان الداخلي 127.0.0.1 (المضيف المحلي) ، ولكن بجميع واجهات الشبكة ، بما في ذلك الواجهة الخارجية. في MongoDB ، يتم تسهيل هذا السلوك من خلال تكوين العينة والذي يتم تقديمه افتراضيًا ، وفي Elasticsearch السابق للإصدار 6.8 ، لم يدعم الإصدار المجاني التحكم في الوصول.
التاريخ مع مزود VPN «UFO» هو دليل، والتي كشفت عن قاعدة بيانات 894GB Elasticsearch متاحة للجمهور.
وضع الموفر نفسه على أنه قلق بشأن خصوصية المستخدم وعدم الاحتفاظ بالسجلات. على عكس ما قيل ، كانت هناك سجلات في قاعدة البيانات النوافذ المنبثقة التي تضمنت معلومات حول عناوين IP ، والارتباط من الجلسة إلى الوقت ، وعلامات موقع المستخدم ، ومعلومات حول نظام التشغيل والجهاز الخاص بالمستخدم ، وقوائم المجالات لإدراج الإعلانات في حركة مرور HTTP غير المحمية.
وبالإضافة إلى ذلك، تحتوي قاعدة البيانات على كلمات مرور الوصول إلى نص واضح ومفاتيح الجلسة ، والتي سمحت بفك تشفير الجلسات التي تم اعتراضها.
مزود VPN «UFO» تم إبلاغه بالمشكلة في 1 يوليولكن الرسالة ظلت بلا إجابة لمدة أسبوعين وتم إرسال طلب آخر إلى مزود الاستضافة في 14 يوليو ، وبعد ذلك تم حماية قاعدة البيانات في 15 يوليو.
استجابت الشركة للإخطار بنقل قاعدة البيانات إلى موقع آخر ، ولكن مرة أخرى لم يستطع تأمينه بشكل صحيح. لم يمض وقت طويل بعد هجوم مياو عليها.
منذ 20 يوليو ، عادت قاعدة البيانات هذه إلى الظهور في المجال العام على عنوان IP مختلف. في غضون ساعات ، تمت إزالة جميع البيانات تقريبًا من قاعدة البيانات. أظهر تحليل هذا الحذف أنه كان مرتبطًا بهجوم هائل يسمى Meow من اسم الفهارس المتبقية في قاعدة البيانات بعد الحذف.
وكتب دياتشينكو على تويتر في وقت سابق من هذا الأسبوع: "بمجرد تأمين البيانات المكشوفة ، عادت للظهور للمرة الثانية في 20 يوليو على عنوان IP مختلف: تم تدمير جميع السجلات بواسطة هجوم آخر بواسطة الروبوت" Meow ". .
فيكتور جيفرز ، رئيس المؤسسة غير الربحية GDI ، شهد أيضا الهجوم الجديد. يدعي أن الممثل يهاجم أيضًا قواعد بيانات MongoDB المكشوفة. ولاحظ المحقق الخميس أن من يقف وراء الهجوم يبدو أنه يستهدف أي قاعدة بيانات غير آمنة ويمكن الوصول إليها على الإنترنت.
بحث من خلال خدمة شودان أظهر أن عدة مئات من الخوادم الأخرى أصبحت أيضًا ضحايا للإزالة. الآن عدد قواعد البيانات البعيدة يقترب من 4000 م منهاأكثر من 97٪ منها هي قواعد بيانات Elasticsearch و MongoDB.
وفقًا لـ LeakIX ، وهو مشروع يقوم بفهرسة الخدمات المفتوحة ، تم استهداف Apache ZooKeeper أيضًا. كما قام هجوم آخر أقل ضررًا بتمييز ملفات 616 ElasticSearch و MongoDB و Cassandra بالسلسلة "university_cybersec_experiment".
اقترح الباحثون أنه في هذه الهجمات ، يظهر المهاجمون لمشرفي قاعدة البيانات أن الملفات عرضة للعرض أو الحذف.