Meow er et angreb, der fortsætter med at få fart og det er det i flere dage nus er blevet frigivet forskellige nyheder hvori forskellige ukendte angreb ødelægger data i ubeskyttede faciliteter Elasticsearch og MongoDB offentlig adgang.
udover det isolerede tilfælde af rengøring blev også registreret (ca. 3% af alle ofre i alt) til ubeskyttede databaser baseret på Apache Cassandra, CouchDB, Redis, Hadoop og Apache ZooKeeper.
Om Meow
Angrebet udføres gennem en bot, der viser DBMS-netværksporte typisk. Undersøgelsen af angrebet på en falsk honeypot-server har vist det bot-forbindelsen oprettes via ProtonVPN.
Årsagen til problemerne er åbningen af offentlig adgang til databasen uden korrekte godkendelsesindstillinger.
Ved en fejltagelse eller skødesløshed knytter anmodningshåndtereren sig ikke til den interne adresse 127.0.0.1 (localhost), men til alle netværksgrænseflader, inklusive den eksterne. I MongoDB letter denne opførsel af eksempelkonfigurationen som tilbydes som standard, og i Elasticsearch før version 6.8 understøttede den gratis version ikke adgangskontrol.
Historikken med VPN-udbyderen «UFO» er vejledende, som afslørede en offentligt tilgængelig 894 GB Elasticsearch-database.
Udbyderen positionerede sig som bekymret over brugernes privatliv og ikke føre registre. I modsætning til hvad der blev sagt, var der optegnelser i databasen Pop op-vinduer, der indeholdt oplysninger om IP-adresser, linket fra sessionen til tidspunktet, brugerens placeringskoder, oplysninger om brugerens operativsystem og enhed og lister over domæner for at indsætte annoncer i ubeskyttet HTTP-trafik.
Derudover databasen indeholdt adgangskoder til klar tekstadgang og sessionstaster, som gjorde det muligt at dekryptere de opfangede sessioner.
VPN-udbyderen «UFO» blev underrettet om problemet den 1. juli, men meddelelsen forblev ubesvaret i to uger og en anden anmodning blev sendt til hostingudbyderen den 14. juli, hvorefter databasen blev beskyttet den 15. juli.
Virksomheden reagerede på underretningen ved at flytte databasen til et andet sted, men endnu en gang kunne han ikke sikre det ordentligt. Ikke længe efter udslettede Meows angreb hende.
Siden den 20. juli dukkede denne database op igen i det offentlige domæne på en anden IP. I løbet af få timer blev næsten alle data fjernet fra databasen. Analyse af denne sletning viste, at det var forbundet med et massivt angreb kaldet Meow fra navnet på de indekser, der var tilbage i databasen efter sletningen.
"Når de eksponerede data var sikret, dukkede de op igen for anden gang den 20. juli på en anden IP-adresse: alle poster blev ødelagt af endnu et angreb fra 'Meow' -roboten," twitrede Diachenko tidligere på ugen. .
Victor Gevers, præsident for nonprofitfonden GDI var også vidne til det nye angreb. Han hævder, at skuespilleren også angriber MongoDBs udsatte databaser. Efterforskeren bemærkede torsdag, at den, der står bag angrebet, ser ud til at målrette mod enhver database, der ikke er sikker og tilgængelig på Internettet.
En søgning gennem Shodan-tjenesten viste, at flere hundrede flere servere også var blevet ofre for fjernelsen. Nu nærmer antallet af eksterne databaser 4000, hvoraf mMere end 97% af disse er Elasticsearch- og MongoDB-databaser.
Ifølge LeakIX, et projekt, der indekserer åbne tjenester, blev Apache ZooKeeper også målrettet. Et andet mindre ondsindet angreb taggede også 616 ElasticSearch, MongoDB og Cassandra filer med strengen "university_cybersec_experiment".
Forskerne foreslog, at angriberne i disse angreb ser ud til at demonstrere for databaseansvarlige, at filerne er sårbare over for visning eller sletning.