Mijau je napad koji nastavlja dobivati zamah i to već nekoliko danaobjavljene su razne vijesti u kojoj razni nepoznati napadi uništavaju podatke u nezaštićenim objektima Elasticsearch i MongoDB javni pristup.
pored toga zabilježeni su i pojedinačni slučajevi čišćenja (približno 3% svih žrtava) za nezaštićene baze podataka zasnovane na Apache Cassandra, CouchDB, Redis, Hadoop i Apache ZooKeeper.
O meni
Napad se izvodi putem bota koji navodi DBMS mrežne portove tipično. Studija o napadu na lažni poslužitelj meda je to pokazala botova veza se vrši preko ProtonVPN-a.
Uzrok problema je otvaranje javnog pristupa bazi podataka bez odgovarajućih postavki provjere autentičnosti.
Greškom ili nepažnjom obrađivač zahtjeva se ne veže za internu adresu 127.0.0.1 (localhost), već za sva mrežna sučelja, uključujući i vanjska. U MongoDB-u je ovo ponašanje olakšano konfiguracijom uzorka koja se nudi prema zadanim postavkama, a u programu Elasticsearch prije verzije 6.8 besplatna verzija nije podržavala kontrolu pristupa.
Istorija VPN dobavljača «NLO» je indikativna, koja je otkrila javno dostupnu bazu podataka Elasticsearch od 894 GB.
Dobavljač se pozicionirao kao zabrinut zbog privatnosti korisnika i ne vođenje evidencije. Suprotno onome što je rečeno, u bazi podataka bilo je zapisa Skočni prozori koji su uključivali informacije o IP adresama, vezu sesije s vremenom, korisničke oznake lokacije, informacije o korisničkom operativnom sistemu i uređaju i liste domena za umetanje oglasa u nezaštićeni HTTP promet.
Takođe, baza podataka sadržavala je lozinke za pristup jasnom tekstu i ključeve sesije, što je omogućilo dešifriranje presretnutih sesija.
VPN provajder «NLO» je o tom pitanju obaviješten 1. jula, ali poruka je ostala bez odgovora dvije sedmice a drugi zahtjev poslan je pružatelju usluga hostinga 14. jula, nakon čega je baza podataka zaštićena 15. jula.
Kompanija je na obavijest odgovorila premještanjem baze podataka na drugu lokaciju, ali još jednom ga nije mogao pravilno osigurati. Nedugo zatim, Meowin napad je zbrisao.
Od 20. jula, ova se baza podataka ponovo pojavila u javnom vlasništvu na drugom IP-u. Za nekoliko sati gotovo su svi podaci uklonjeni iz baze podataka. Analiza ovog brisanja pokazala je da je povezano s masovnim napadom zvanim Meow iz imena indeksa koji su ostali u bazi podataka nakon brisanja.
"Jednom kada su izloženi podaci osigurani, pojavili su se drugi put 20. jula na drugoj IP adresi: svi zapisi uništeni su još jednim napadom robota 'Meow'", objavio je Diachenko ranije ove sedmice. .
Victor Gevers, predsjednik neprofitne fondacije GDI je također bio svjedok novog napada. Tvrdi da glumac takođe napada izložene baze podataka MongoDB-a. Istražitelj je u četvrtak primijetio da se čini da onaj ko stoji iza napada cilja na bilo koju bazu podataka koja nije sigurna i dostupna na Internetu.
Pretraga putem usluge Shodan pokazao je da je još nekoliko stotina servera takođe postalo žrtvama uklanjanja. Sada se broj udaljenih baza podataka približava 4000, od čega mViše od 97% su baze podataka Elasticsearch i MongoDB.
Prema LeakIX-u, projektu koji indeksira otvorene usluge, Apache ZooKeeper je takođe bio meta. Još jedan manje zlonamjeran napad također je označio 616 datoteka ElasticSearch, MongoDB i Cassandra nizom "university_cybersec_experiment".
Istraživači su sugerirali da napadači u tim napadima demonstriraju održavačima baza podataka da su datoteke ranjive na pregled ili brisanje.