Meow je útok, který stále nabírá na obrátkách a je to tak již několik dníbyly vydány různé novinky , ve kterém různé neznámé útoky ničí data v nechráněných zařízeních Elasticsearch a MongoDB veřejný přístup.
kromě toho byly také zaznamenány izolované případy čištění (přibližně 3% všech obětí celkem) pro nechráněné databáze založené na Apache Cassandra, CouchDB, Redis, Hadoop a Apache ZooKeeper.
O mně
Útok se provádí prostřednictvím robota, který uvádí síťové porty DBMS typický. Studie útoku na falešný server honeypot to ukázala připojení robota se provádí prostřednictvím ProtonVPN.
Příčinou problémů je otevření veřejného přístupu k databázi bez správného nastavení ověřování.
Omylem nebo nedbalostí se obslužný program požadavku nepřipojí k interní adrese 127.0.0.1 (localhost), ale ke všem síťovým rozhraním, včetně externího. V MongoDB je toto chování usnadněno ukázkovou konfigurací která je nabízena ve výchozím nastavení a v Elasticsearch před verzí 6.8 bezplatná verze nepodporovala řízení přístupu.
Historie s poskytovatelem VPN «UFO» je orientační, která odhalila veřejně dostupnou 894 GB databázi Elasticsearch.
Poskytovatel se vyjádřil jako znepokojený ochranou soukromí uživatelů a ne vedení záznamů. Oproti tomu, co bylo řečeno, byly v databázi záznamy Vyskakovací okna, která obsahovala informace o IP adresách, odkazu z relace na čas, tagy umístění uživatele, informace o operačním systému a zařízení uživatele a seznamy domén pro vložení reklam do nechráněného provozu HTTP.
Navíc, databáze obsahovala hesla pro přístup k prostému textu a klíče relace, které umožňovaly dešifrovat zachycené relace.
Poskytovatel VPN «UFO» byl o problému informován 1. července, ale zpráva zůstala nezodpovězena dva týdny a další žádost byla zaslána poskytovateli hostingu 14. července, poté byla databáze 15. července chráněna.
Společnost reagovala na oznámení přesunutím databáze na jiné místo, ale znovu to nedokázal správně zajistit. Nedlouho poté ji Meowův útok zničil.
Od 20. července se tato databáze znovu objevila ve veřejné doméně na jiné IP adrese. Během několika hodin byla z databáze odstraněna téměř všechna data. Analýza tohoto odstranění ukázala, že to bylo spojeno s masivním útokem s názvem Meow z názvu indexů, které zůstaly v databázi po odstranění.
„Jakmile byla exponovaná data zabezpečena, znovu se objevila 20. července na jiné IP adrese: všechny záznamy byly zničeny dalším útokem robota„ Meow “,“ tweetoval Diachenko na začátku tohoto týdne. .
Victor Gevers, prezident neziskové nadace GDI, také svědkem nového útoku. Tvrdí, že herec také útočí na exponované databáze MongoDB. Vyšetřovatel ve čtvrtek poznamenal, že kdokoli stojí za útokem, zdá se, že cílí na jakoukoli databázi, která není bezpečná a přístupná na internetu.
Hledání prostřednictvím služby Shodan ukázalo, že obětí odstranění se stalo také několik stovek dalších serverů. Nyní se počet vzdálených databází blíží 4000, z toho mVíce než 97% z nich jsou databáze Elasticsearch a MongoDB.
Podle LeakIX, projektu, který indexuje otevřené služby, byl zaměřen také Apache ZooKeeper. Další méně škodlivý útok také označil soubory 616 ElasticSearch, MongoDB a Cassandra řetězcem „university_cybersec_experiment“.
Vědci navrhli, že se při těchto útocích zdá, že útočníci správcům databází prokazují, že soubory jsou citlivé na prohlížení nebo mazání.