Miau on hyökkäys, joka saa edelleen vauhtia ja se on nyt useita päiviäs on julkaistu useita uutisia jossa erilaiset tuntemattomat hyökkäykset tuhoavat tietoja suojaamattomissa tiloissa Elasticsearch ja MongoDB julkinen pääsy.
Sen lisäksi myös yksittäisiä puhdistustapauksia kirjattiin (noin 3% kaikista uhreista) suojaamattomille tietokannoille, jotka perustuvat Apache Cassandraan, CouchDB: hen, Redisiin, Hadoopiin ja Apache ZooKeeperiin.
Tietoa henkilöstä Meow
Hyökkäys suoritetaan botin kautta, joka listaa DBMS-verkkoportit tyypillinen. Väärennetyn honeypot-palvelimen hyökkäystä koskeva tutkimus on osoittanut sen bottiyhteys muodostetaan ProtonVPN: n kautta.
Ongelmien syy on julkisen pääsyn avaaminen tietokantaan ilman oikeita todennusasetuksia.
Virheellisesti tai huolimattomasti pyynnön käsittelijä ei kiinnity sisäiseen osoitteeseen 127.0.0.1 (localhost), vaan kaikkiin verkkoliitäntöihin, myös ulkoiseen. MongoDB: ssä tätä käyttäytymistä helpottaa näytekokoonpano jota tarjotaan oletuksena, ja Elasticsearchissa ennen versiota 6.8 ilmainen versio ei tue pääsynvalvontaa.
Historia VPN-palveluntarjoajan «UFO» kanssa on ohjeellinen, joka paljasti julkisesti saatavilla olevan 894 Gt: n Elasticsearch-tietokannan.
Palveluntarjoaja katsoi olevansa huolissaan käyttäjien yksityisyydestä eikä pidä kirjanpitoa. Päinvastoin kuin sanottiin, tietokannassa oli tietueita Ponnahdusikkunat, jotka sisälsivät tietoja IP-osoitteista, linkin istunnosta aikaan, käyttäjän sijaintitunnisteet, tiedot käyttäjän käyttöjärjestelmästä ja laitteesta sekä verkkotunnusluettelot mainosten lisäämiseksi suojaamattomaan HTTP-liikenteeseen.
Lisäksi, tietokanta sisälsi selkeät tekstipääsysalasanat ja istuntoavaimet, jotka mahdollistivat siepattujen istuntojen salauksen purkamisen.
VPN-palveluntarjoaja «UFO» ilmoitettiin asiasta 1. heinäkuuta, mutta viesti jäi vastaamatta kahteen viikkoon ja toinen pyyntö lähetettiin hosting-palvelujen tarjoajalle 14. heinäkuuta, jonka jälkeen tietokanta oli suojattu 15. heinäkuuta.
Yritys vastasi ilmoitukseen siirtämällä tietokantaa toiseen paikkaan, mutta jälleen kerran hän ei voinut kiinnittää sitä kunnolla. Pian sen jälkeen Meowin hyökkäys pyyhkäisi hänet pois.
Koska 20. heinäkuuta, tämä tietokanta ilmestyi uudelleen julkiseen verkkoon eri IP-osoitteessa. Muutamassa tunnissa melkein kaikki tiedot poistettiin tietokannasta. Tämän poiston analyysi osoitti, että se liittyi massiiviseen Meow-nimiseen hyökkäykseen poistokohdan tietokantaan jätettyjen hakemistojen nimestä.
"Kun paljastetut tiedot oli suojattu, ne ilmestyivät toisen kerran 20. heinäkuuta eri IP-osoitteella:" Meow "-robotin toinen hyökkäys tuhosi kaikki tietueet", Diachenko twiittasi aiemmin tällä viikolla. .
Victor Gevers, voittoa tavoittelemattoman säätiön puheenjohtaja GDI, myös nähnyt uuden hyökkäyksen. Hän väittää, että näyttelijä hyökkää myös MongoDB: n paljastettuihin tietokantoihin. Tutkija totesi torstaina, että kuka hyökkäyksen takana näyttää kohdistavan kaikki tietokannat, jotka eivät ole turvallisia ja käytettävissä Internetissä.
Haku Shodan-palvelun kautta osoitti, että muutama sata lisää palvelimia oli myös joutunut poistamisen uhreiksi. Nyt etätietokantojen määrä lähestyy 4000, joista mYli 97% näistä on Elasticsearch- ja MongoDB-tietokantoja.
Avoimia palveluja indeksoivan LeakIX-projektin mukaan myös Apache ZooKeeper kohdennettiin. Toinen vähemmän haitallinen hyökkäys merkitsi 616 ElasticSearch-, MongoDB- ja Cassandra-tiedostot merkkijonolla "university_cybersec_experiment".
Tutkijat ehdottivat, että näissä hyökkäyksissä hyökkääjät näyttävät osoittavan tietokannan ylläpitäjille, että tiedostot ovat alttiita katselulle tai poistamiselle.