Meow: une attaque qui détruit les données des bases de données non protégées d'Elasticsearch et de MongoDB

Meow est une attaque qui continue de prendre de l'ampleur et c'est que depuis plusieurs jours maintenants ont été publiés diverses nouvelles dans laquelle diverses attaques inconnues détruisent des données dans des installations non protégées Accès public à Elasticsearch et MongoDB.

En plus que des cas isolés de nettoyage ont également été enregistrés (environ 3% de toutes les victimes au total) pour les bases de données non protégées basées sur Apache Cassandra, CouchDB, Redis, Hadoop et Apache ZooKeeper.

À propos de Meow

L'attaque est réalisée via un bot qui répertorie les ports réseau du SGBD typique. L'étude de l'attaque d'un faux serveur de pot de miel a montré que la connexion du bot est établie via ProtonVPN.

La cause des problèmes est l'ouverture de l'accès public à la base de données sans paramètres d'authentification appropriés.

Par erreur ou par négligence, le gestionnaire de requêtes s'attache non pas à l'adresse interne 127.0.0.1 (localhost), mais à toutes les interfaces réseau, y compris celle externe. Dans MongoDB, ce comportement est facilité par l'exemple de configuration qui est proposé par défaut, et dans Elasticsearch avant la version 6.8, la version gratuite ne prenait pas en charge le contrôle d'accès.

L'historique avec le fournisseur VPN «UFO» est indicatif, qui a révélé une base de données Elasticsearch de 894 Go accessible au public.

Le fournisseur s'est positionné comme préoccupé par la confidentialité des utilisateurs et ne pas tenir de registres. Contrairement à ce qui a été dit, il y avait des enregistrements dans la base de données Pop-ups contenant des informations sur les adresses IP, le lien de la session à l'heure, les balises de localisation de l'utilisateur, des informations sur le système d'exploitation et l'appareil de l'utilisateur, et des listes de domaines pour insérer des publicités dans le trafic HTTP non protégé.

En outre, la base de données contenait des mots de passe d'accès en texte clair et les clés de session, qui permettaient de déchiffrer les sessions interceptées.

Le fournisseur VPN «UFO» a été informé du problème le 1er juillet, mais le message est resté sans réponse pendant deux semaines et une autre demande a été envoyée au fournisseur d'hébergement le 14 juillet, après quoi la base de données a été protégée le 15 juillet.

L'entreprise a répondu à la notification en déplaçant la base de données à un autre endroit, mais encore une fois, il ne pouvait pas le sécuriser correctement. Peu de temps après, l'attaque de Meow l'a anéantie.

Depuis le 20 juillet, cette base de données est réapparue dans le domaine public sur une IP différente. En quelques heures, presque toutes les données ont été supprimées de la base de données. L'analyse de cette suppression a montré qu'elle était associée à une attaque massive appelée Meow à partir du nom des index laissés dans la base de données après la suppression.

«Une fois que les données exposées ont été sécurisées, elles sont réapparues pour la deuxième fois le 20 juillet à une adresse IP différente: tous les enregistrements ont été détruits par une autre attaque du robot 'Meow'», a tweeté Diachenko plus tôt cette semaine. .

Victor Gevers, président de la fondation à but non lucratif GDI, a également été témoin de la nouvelle attaque. Il affirme que l'acteur attaque également les bases de données exposées de MongoDB. L'enquêteur a noté jeudi que quiconque est derrière l'attaque semble viser toute base de données qui n'est pas sécurisée et accessible sur Internet.

Une recherche par le service Shodan a montré que plusieurs centaines de serveurs supplémentaires avaient également été victimes de la suppression. Désormais, le nombre de bases de données distantes approche les 4000 dont mPlus de 97% d'entre eux sont des bases de données Elasticsearch et MongoDB.

Selon LeakIX, un projet qui indexe les services ouverts, Apache ZooKeeper a également été ciblé. Une autre attaque moins malveillante a également étiqueté 616 fichiers ElasticSearch, MongoDB et Cassandra avec la chaîne "university_cybersec_experiment". 

Les chercheurs ont suggéré que dans ces attaques, les attaquants semblent démontrer aux responsables de la base de données que les fichiers sont vulnérables à la visualisation ou à la suppression.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.