Miau ist ein Angriff, der weiter an Dynamik gewinnt und das schon seit einigen tagens wurden verschiedene Nachrichten veröffentlicht worin Verschiedene unbekannte Angriffe zerstören Daten in ungeschützten Einrichtungen Öffentlicher Zugang zu Elasticsearch und MongoDB.
Außerdem Es wurden auch vereinzelte Reinigungsfälle registriert (ungefähr 3% aller Opfer insgesamt) für ungeschützte Datenbanken, die auf Apache Cassandra, CouchDB, Redis, Hadoop und Apache ZooKeeper basieren.
Über Miau
Der Angriff wird über einen Bot ausgeführt, der die DBMS-Netzwerkports auflistet typisch. Die Untersuchung des Angriffs auf einen gefälschten Honeypot-Server hat dies gezeigt Die Bot-Verbindung wird über ProtonVPN hergestellt.
Die Ursache der Probleme ist die Öffnung des öffentlichen Zugriffs auf die Datenbank ohne die richtigen Authentifizierungseinstellungen.
Aus Versehen oder Unachtsamkeit hängt sich der Anforderungshandler nicht an die interne Adresse 127.0.0.1 (localhost) an, sondern an alle Netzwerkschnittstellen, einschließlich der externen. In MongoDB wird dieses Verhalten durch die Beispielkonfiguration erleichtert Dies wird standardmäßig angeboten, und in Elasticsearch vor Version 6.8 unterstützte die kostenlose Version die Zugriffskontrolle nicht.
Die Geschichte mit dem VPN-Anbieter «UFO» ist indikativ, die eine öffentlich verfügbare 894 GB Elasticsearch-Datenbank enthüllte.
Der Anbieter hat sich als besorgt über die Privatsphäre der Benutzer positioniert und keine Aufzeichnungen zu führen. Im Gegensatz zu dem, was gesagt wurde, gab es Aufzeichnungen in der Datenbank Popups mit Informationen zu IP-Adressen, dem Link von der Sitzung zur Uhrzeit, den Standort-Tags des Benutzers, Informationen zum Betriebssystem und zum Gerät des Benutzers sowie Listen von Domains zum Einfügen von Anzeigen in ungeschützten HTTP-Verkehr.
Zusätzlich Die Datenbank enthielt Klartextzugriffskennwörter und Sitzungsschlüssel, mit denen die abgefangenen Sitzungen entschlüsselt werden konnten.
Der VPN-Anbieter «UFO» wurde am 1. Juli über das Problem informiert, aber die Nachricht blieb zwei Wochen lang unbeantwortet und eine weitere Anfrage wurde am 14. Juli an den Hosting-Anbieter gesendet. Danach wurde die Datenbank am 15. Juli geschützt.
Das Unternehmen reagierte auf die Benachrichtigung mit dem Verschieben der Datenbank an einen anderen Ort, aber noch einmal konnte er es nicht richtig sichern. Nicht lange danach löschte Meows Angriff sie aus.
Seit dem 20. Juli ist diese Datenbank unter einer anderen IP-Adresse wieder öffentlich zugänglich. Innerhalb weniger Stunden wurden fast alle Daten aus der Datenbank entfernt. Die Analyse dieser Löschung ergab, dass sie mit einem massiven Angriff namens Meow aufgrund des Namens der nach dem Löschen in der Datenbank verbleibenden Indizes verbunden war.
"Nachdem die freigelegten Daten gesichert waren, wurden sie am 20. Juli zum zweiten Mal unter einer anderen IP-Adresse angezeigt: Alle Datensätze wurden durch einen weiteren Angriff des 'Meow'-Roboters zerstört", twitterte Diachenko Anfang dieser Woche. .
Victor Gevers, Präsident der gemeinnützigen Stiftung GDI war auch Zeuge des neuen Angriffs. Er behauptet, dass der Schauspieler auch die exponierten Datenbanken von MongoDB angreift. Der Ermittler stellte am Donnerstag fest, dass jeder, der hinter dem Angriff steht, auf eine Datenbank abzielt, die im Internet nicht sicher und zugänglich ist.
Eine Suche durch Shodan Service zeigten, dass mehrere hundert weitere Server ebenfalls Opfer der Entfernung geworden waren. Jetzt nähert sich die Anzahl der entfernten Datenbanken 4000 von denen mMehr als 97% davon sind Elasticsearch- und MongoDB-Datenbanken.
Laut LeakIX, einem Projekt, das offene Dienste indiziert, wurde auch Apache ZooKeeper ins Visier genommen. Ein weiterer weniger böswilliger Angriff markierte 616 ElasticSearch-, MongoDB- und Cassandra-Dateien mit der Zeichenfolge "university_cybersec_experiment".
Die Forscher schlugen vor, dass die Angreifer bei diesen Angriffen den Datenbankbetreuern zu demonstrieren scheinen, dass die Dateien für das Anzeigen oder Löschen anfällig sind.