Mjäu on rünnak, mis jätkab hoogu ja seda juba mitu päevas on välja antud erinevaid uudiseid kus mitmesugused tundmatud rünnakud hävitavad andmeid kaitsmata rajatistes Elasticsearch ja MongoDB avalik juurdepääs.
peale selle Samuti registreeriti üksikud puhastusjuhud (kokku umbes 3% kõigist ohvritest) Apache Cassandra, CouchDB, Redise, Hadoop ja Apache ZooKeeperi baasil töötavate kaitsmata andmebaaside jaoks.
Meowist
Rünnak viiakse läbi roboti kaudu, mis loetleb DBMS-i võrgupordid tüüpiline. Uurimus võltsmeeserveri rünnaku kohta on seda näidanud bot-ühendus toimub ProtonVPN-i kaudu.
Probleemide põhjuseks on avaliku juurdepääsu avamine andmebaasile ilma õigete autentimisseadeteta.
Vea või hoolimatuse tõttu ei kinnita päringute töötleja ennast sisemisele aadressile 127.0.0.1 (localhost), vaid kõigile võrguliidestele, sealhulgas välisele. MongoDB-s hõlbustab seda käitumist valimi konfiguratsioon mida pakutakse vaikimisi ja versioonile 6.8 eelnenud Elasticsearchis ei toetanud tasuta versioon juurdepääsu kontrollimist.
Ajalugu VPN-teenuse pakkujaga «UFO» on soovituslik, mis näitas avalikult kättesaadavat 894 GB suurust Elasticsearchi andmebaasi.
Pakkuja leidis, et on kasutajate privaatsuse pärast mures ja arvestuse pidamata jätmine. Vastupidiselt öeldule olid andmebaasis kirjed Hüpikaknad, mis sisaldasid teavet IP-aadresside kohta, seansi seost ajaga, kasutaja asukohasilte, teavet kasutaja opsüsteemi ja seadme kohta ning domeenide loendeid reklaamide lisamiseks kaitsmata HTTP-liiklusse.
Lisaks andmebaas sisaldas selgeid tekstipääsuparoole ja seansivõtmed, mis võimaldasid pealtkuulatud seansid dekrüpteerida.
VPN-i pakkuja «UFO» teavitati teemast 1. juulil, kuid sõnum jäi kahe nädala jooksul vastuseta ja teine taotlus saadeti hostimise pakkujale 14. juulil pärast seda kaitsti andmebaas 15. juulil.
Ettevõte vastas teatele andmebaasi teisaldamisega teise kohta, aga taaskord ei suutnud ta seda korralikult kinnitada. Pikka aega hiljem hävitas Meowi rünnak ta.
Kuna 20. juulil ilmus see andmebaas uuesti üldkasutatavale teistsugusele IP-le. Mõne tunni jooksul eemaldati andmebaasist peaaegu kõik andmed. Selle kustutamise analüüs näitas, et see oli seotud massiivse rünnakuga nimega Meow alates kustutamise järel andmebaasi jäetud indeksite nimest.
"Kui eksponeeritud andmed olid turvatud, ilmusid need 20. juulil teist korda uuesti IP-aadressil: kõik kirjed hävitas robot" Meow "järjekordne rünnak," säutsus Diatšenko selle nädala alguses. .
Mittetulundusühingu president Victor Gevers GDI oli ka uue rünnaku tunnistajaks. Ta väidab, et näitleja ründab ka MongoDB paljastatud andmebaase. Uurija märkis neljapäeval, et see, kes rünnaku taga on, näib sihitavat kõiki andmebaase, mis pole Internetis turvalised ja juurdepääsetavad.
Otsing Shodani teenistuse kaudu näitas, et eemaldamise ohvriteks on saanud ka veel mitusada serverit. Nüüd läheneb kaugandmebaaside arv 4000-le, millest mÜle 97% neist on Elasticsearchi ja MongoDB andmebaasid.
Avatud teenuseid indekseeriva projekti LeakIX andmetel oli sihtmärgiks ka Apache ZooKeeper. Teine vähem pahatahtlik rünnak märkis 616 faili ElasticSearch, MongoDB ja Cassandra ka stringiga "university_cybersec_experiment".
Teadlased pakkusid, et nende rünnakute korral näivad ründajad andmebaasi haldajatele, et failid on vaatamise või kustutamise suhtes haavatavad.