Meow és un atac que continua guanyant impuls i és que des de fa ja diversos dias s'han donat a conèixer diverses notícies en el qual diversos atacs desconeguts destrueixen dades en instal·lacions desprotegides d'accés públic de Elasticsearch i MongoDB.
A més de que també es van registrar casos aïllats de neteja (Aproximadament el 3% de totes les víctimes en total) per a bases de dades desprotegides basades en Apache Cassandra, CouchDB, Redis, Hadoop i Apache ZooKeeper.
sobre Meow
L'atac es porta a terme a través d'un bot que enumera els ports de xarxa DBMS típics. L'estudi de l'atac a un servidor honeypot fals ha demostrat que la connexió de el bot es realitza a través de ProtonVPN.
La causa dels problemes és l'obertura de l'accés públic a la base de dades sense la configuració d'autenticació adequada.
Per error o descuit, el controlador de sol·licitud s'adjunta no a la direcció interna 127.0.0.1 (localhost), sinó a totes les interfícies de xarxa, inclosa l'externa. En MongoDB, aquest comportament es veu facilitat per la configuració de mostra que s'ofereix per defecte, i en Elasticsearch abans de la versió 6.8, la versió gratuïta no era compatible amb el control d'accés.
La història amb el proveïdor de VPN «UFO» és indicativa, En la qual es va revelar una base de dades Elasticsearch de 894 GB disponible públicament.
El proveïdor es va posicionar com preocupat per la privacitat de l'usuari i no guardant registres. Contràriament al que s'ha dit, hi havia registres a la base de dades emergent que incloïen informació sobre les adreces IP, l'enllaç de la sessió a el temps, les etiquetes d'ubicació de l'usuari, informació sobre el sistema operatiu i el dispositiu de l'usuari, i llistes de dominis per inserir anuncis en el tràfic HTTP desprotegit.
A més, la base de dades contenia contrasenyes d'accés de text sense xifrar i claus de sessió, el que va permetre desxifrar les sessions interceptades.
El proveïdor de VPN «UFO» va ser informat de el problema l'1 de juliol, Però el missatge va romandre sense resposta durant dues setmanes i es va enviar una altra sol·licitud a l'proveïdor d'allotjament el 14 de juliol, després de la qual cosa la base de dades va estar protegida el 15 de juliol.
La companyia va respondre a la notificació de movent la base de dades a una altra ubicació, però una vegada més no va poder assegurar-la adequadament. No gaire després, l'atac de Meow la aniquilar.
Ja que el 20 de juliol, aquesta base de dades va tornar a aparèixer en el domini públic en una IP diferent. En qüestió d'hores, es van eliminar gairebé totes les dades de la base de dades. L'anàlisi d'aquesta eliminació va mostrar que estava associat amb un atac massiu anomenat Meow pel nom dels índexs que queden a la base de dades després de l'eliminació.
«Una vegada que les dades exposades van ser assegurats, van tornar a aparèixer per segona vegada el 20 de juliol en una adreça IP diferent: tots els registres van ser destruïts per un altre atac de l'robot 'Meow'», va tuitejar Diachenko a principis d'aquesta setmana. .
Victor Gevers, president de la fundació sense ànim de lucre GDI, també va ser testimoni de el nou atac. Afirma que l'actor també està atacant les bases de dades exposades de MongoDB. L'investigador va observar dijous que qui està darrere de l'atac aparentment apunta a qualsevol base de dades que no sigui segura i accessible a Internet.
una recerca a través del servei Shodan va mostrar que diversos centenars de servidors més també s'havien convertit en víctimes de l'eliminació. Ara el nombre de bases de dades remotes s'acosta a 4000 de les quals más de el 97% d'aquestes són bases de dades Elasticsearch i MongoDB.
Segons LeakIX, un projecte que indexa serveis oberts, Apache ZooKeeper també va ser blanc de l'atac. Un altre atac menys maliciós també va etiquetar 616 arxius ElasticSearch, MongoDB i Cassandra amb la cadena «university_cybersec_experiment».
Els investigadors van suggerir que en aquests atacs, els atacants semblen demostrar als mantenidors de bases de dades que els arxius són vulnerables a la visualització o eliminació.