Мяу е атака, която продължава да набира скорост и то вече няколко дниса пуснати различни новини , в която различни неизвестни атаки унищожават данни в незащитени съоръжения Публичен достъп на Elasticsearch и MongoDB.
Освен, че са регистрирани и единични случаи на почистване (приблизително 3% от всички жертви общо) за незащитени бази данни, базирани на Apache Cassandra, CouchDB, Redis, Hadoop и Apache ZooKeeper.
Относно Мяу
Атаката се извършва чрез бот, който изброява мрежовите портове на СУБД типичен. Проучването на атаката срещу фалшив сървър за медни съдове показа това бот връзката се осъществява чрез ProtonVPN.
Причината за проблемите е отварянето на публичен достъп до базата данни без правилни настройки за удостоверяване.
По грешка или невнимание манипулаторът на заявки се прикрепя не към вътрешния адрес 127.0.0.1 (localhost), а към всички мрежови интерфейси, включително външния. В MongoDB това поведение се улеснява от примерната конфигурация което се предлага по подразбиране, а в Elasticsearch преди версия 6.8 безплатната версия не поддържаше контрол на достъпа.
Историята с доставчика на VPN «UFO» е ориентировъчна, която разкри публично достъпна база данни от 894 GB Elasticsearch.
Доставчикът се позиционира като загрижен за поверителността на потребителите и не водене на записи. Противно на казаното, в базата данни имаше записи Изскачащи прозорци, които включват информация за IP адреси, връзката на сесията с времето, маркерите за местоположение на потребителя, информация за операционната система и устройството на потребителя и списъци с домейни за вмъкване на реклами в незащитен HTTP трафик.
Освен това, базата данни съдържаше пароли за достъп до ясен текст и сесионни ключове, които позволяват прихващаните сесии да бъдат декриптирани.
Доставчикът на VPN «НЛО» беше информиран за проблема на 1 юли, но съобщението остана без отговор в продължение на две седмици и още едно искане беше изпратено до хостинг доставчика на 14 юли, след което базата данни е защитена на 15 юли.
Компанията отговори на уведомлението, като премести базата данни на друго място, но за пореден път не можа да го осигури както трябва. Не след дълго атаката на Мяу я унищожи.
Тъй като на 20 юли тази база данни се появи отново в публичното пространство на различен IP. За броени часове почти всички данни бяха премахнати от базата данни. Анализът на това изтриване показа, че то е свързано с масивна атака, наречена "Мяу" от името на индексите, останали в базата данни след изтриването.
„След като изложените данни бяха защитени, те се появиха за втори път на 20 юли на различен IP адрес: всички записи бяха унищожени от поредната атака на робота„ Мяу “, пише в диалоговия прозорец Диаченко по-рано тази седмица. .
Виктор Геверс, президент на фондацията с нестопанска цел GDI също стана свидетел на новата атака. Той твърди, че актьорът атакува и откритите бази данни на MongoDB. Изследователят отбеляза в четвъртък, че този, който стои зад атаката, изглежда е насочен към всяка база данни, която не е сигурна и достъпна в Интернет.
Търсене чрез услуга Shodan показа, че още няколкостотин сървъра също са станали жертви на премахването. Сега броят на отдалечените бази данни се доближава до 4000 от които mПовече от 97% от тях са бази данни Elasticsearch и MongoDB.
Според LeakIX, проект, който индексира отворени услуги, Apache ZooKeeper също е бил насочен. Друга по-малко злонамерена атака също маркира файловете 616 ElasticSearch, MongoDB и Cassandra с низа "university_cybersec_experiment".
Изследователите предполагат, че при тези атаки нападателите изглежда демонстрират на поддръжниците на бази данни, че файловете са уязвими за преглед или изтриване.