Το νιαούρισμα είναι μια επίθεση που συνεχίζει να αποκτά ορμή και είναι αυτό εδώ και αρκετές μέρεςΈχουν κυκλοφορήσει διάφορα νέα στο οποίο διάφορες άγνωστες επιθέσεις καταστρέφουν δεδομένα σε μη προστατευμένες εγκαταστάσεις δημόσια προσβάσιμα Elasticsearch και MongoDB.
εκτός αυτού υπήρξαν και μεμονωμένες περιπτώσεις καθαρισμού (περίπου το 3% όλων των θυμάτων συνολικά) για μη προστατευμένες βάσεις δεδομένων που βασίζονται σε Apache Cassandra, CouchDB, Redis, Hadoop και Apache ZooKeeper.
Σχετικά με το Meow
Η επίθεση πραγματοποιείται μέσω ενός bot που απαριθμεί θύρες δικτύου DBMS τυπικός. Η μελέτη της επίθεσης σε έναν ψεύτικο διακομιστή honeypot το έδειξε η σύνδεση bot γίνεται μέσω ProtonVPN.
Η αιτία των προβλημάτων είναι το άνοιγμα της δημόσιας πρόσβασης στη βάση δεδομένων χωρίς σωστή ρύθμιση ελέγχου ταυτότητας.
Κατά λάθος ή απροσεξία, ο χειριστής αιτημάτων δεν συνδέεται με την εσωτερική διεύθυνση 127.0.0.1 (localhost), αλλά σε όλες τις διεπαφές δικτύου, συμπεριλαμβανομένης της εξωτερικής. Στο MongoDB, αυτή η συμπεριφορά διευκολύνεται από τη διαμόρφωση του δείγματος που προσφέρεται από προεπιλογή και στο Elasticsearch πριν από την έκδοση 6.8, η δωρεάν έκδοση δεν υποστήριζε έλεγχο πρόσβασης.
Η ιστορία με τον πάροχο VPN «UFO» είναι ενδεικτική, το οποίο αποκάλυψε μια δημόσια διαθέσιμη βάση δεδομένων Elasticsearch 894 GB.
Ο πάροχος τοποθέτησε ότι ανησυχεί για το απόρρητο των χρηστών και μη τήρηση αρχείων. Σε αντίθεση με ό,τι ειπώθηκε, υπήρχαν εγγραφές στη βάση δεδομένων αναδυόμενα παράθυρα που περιλάμβαναν πληροφορίες σχετικά με διευθύνσεις IP, σύνδεσμο περιόδου σύνδεσης με την ώρα, ετικέτες τοποθεσίας χρήστη, πληροφορίες σχετικά με το λειτουργικό σύστημα και τη συσκευή του χρήστη και λίστες τομέων για την εισαγωγή διαφημίσεων σε μη προστατευμένη επισκεψιμότητα HTTP.
Επιπλέον, η βάση δεδομένων περιείχε σαφείς κωδικούς πρόσβασης κειμένου και τα κλειδιά περιόδου λειτουργίας, τα οποία επέτρεπαν την αποκρυπτογράφηση των παρεμποδισμένων συνεδριών.
Ο πάροχος VPN "UFO". ενημερώθηκε για το πρόβλημα την 1η Ιουλίου, αλλά το μήνυμα έμεινε αναπάντητο για δύο εβδομάδες και ένα άλλο αίτημα στάλθηκε στον πάροχο φιλοξενίας στις 14 Ιουλίου, μετά την οποία η βάση δεδομένων προστατεύτηκε στις 15 Ιουλίου.
Η εταιρεία απάντησε στην ειδοποίηση μετακινώντας τη βάση δεδομένων σε άλλη τοποθεσία, αλλά για άλλη μια φορά δεν κατάφερε να το ασφαλίσει σωστά. Λίγο αργότερα, η επίθεση του Meow την εξαφάνισε.
Από τις 20 Ιουλίου, αυτή η βάση δεδομένων επανεμφανίστηκε στο δημόσιο τομέα με διαφορετική IP. Μέσα σε λίγες ώρες, σχεδόν όλα τα δεδομένα στη βάση δεδομένων αφαιρέθηκαν. Η ανάλυση αυτής της διαγραφής έδειξε ότι συσχετίστηκε με μια μαζική επίθεση που ονομάζεται Meow από το όνομα των δεικτών που έμειναν στη βάση δεδομένων μετά τη διαγραφή.
"Μόλις τα εκτεθειμένα δεδομένα ασφαλίστηκαν, επανεμφανίστηκαν για δεύτερη φορά στις 20 Ιουλίου σε διαφορετική διεύθυνση IP - όλα τα αρχεία καταστράφηκαν από μια άλλη επίθεση bot "Meow"", έγραψε ο Ντιατσένκο νωρίτερα αυτή την εβδομάδα. .
Victor Gevers, πρόεδρος του μη κερδοσκοπικού ιδρύματος Το GDI, επίσης, είδε τη νέα επίθεση. Ισχυρίζεται ότι ο ηθοποιός επιτίθεται επίσης σε εκτεθειμένες βάσεις δεδομένων MongoDB. Ο ερευνητής σημείωσε την Πέμπτη ότι όποιος βρίσκεται πίσω από την επίθεση προφανώς στοχεύει οποιαδήποτε βάση δεδομένων που δεν είναι ασφαλής και προσβάσιμη στο Διαδίκτυο.
Μια αναζήτηση μέσω της υπηρεσίας Shodan έδειξε ότι αρκετές εκατοντάδες άλλοι διακομιστές είχαν επίσης γίνει θύματα της αφαίρεσης. Τώρα ο αριθμός των απομακρυσμένων βάσεων δεδομένων πλησιάζει τις 4000 εκ των οποίων τα mΠάνω από το 97% αυτών είναι βάσεις δεδομένων Elasticsearch και MongoDB.
Σύμφωνα με το LeakIX, ένα έργο που ευρετηριάζει τις ανοιχτές υπηρεσίες, το Apache ZooKeeper ήταν επίσης στόχος της επίθεσης. Μια άλλη λιγότερο κακόβουλη επίθεση επισήμανε επίσης 616 αρχεία ElasticSearch, MongoDB και Cassandra με τη συμβολοσειρά "university_cybersec_experiment".
Οι ερευνητές πρότειναν ότι σε αυτές τις επιθέσεις, οι εισβολείς φαίνεται να αποδεικνύουν στους συντηρητές της βάσης δεδομένων ότι τα αρχεία είναι ευάλωτα στην προβολή ή τη διαγραφή.