म्याऊ एक ऐसा हमला है जो लगातार बढ़ रहा है और यह है कि अब कई दिनों के लिए हैs को विभिन्न समाचार जारी किए गए हैं जिसमें विभिन्न अज्ञात हमले असुरक्षित सुविधाओं में डेटा को नष्ट कर देते हैं एलेस्टिक्स खोज और मोंगोबीडी सार्वजनिक पहुंच।
इसके अलावा सफाई के अलग-अलग मामले भी दर्ज किए गए (लगभग सभी पीड़ितों का लगभग 3%) अपाचे कैसेंड्रा, काउचबडी, रेडिस, हडोप और अपाचे ज़ूकेपर पर आधारित असुरक्षित डेटाबेस के लिए।
मेव के बारे में
हमला डीबीएमएस नेटवर्क बंदरगाहों को सूचीबद्ध करने वाले एक बॉट के माध्यम से किया जाता है विशिष्ट। एक नकली हनीपोट सर्वर पर हमले के अध्ययन से पता चला है कि बॉट कनेक्शन प्रोटॉन वीपीएन के माध्यम से बनाया गया है।
समस्याओं का कारण डेटाबेस तक सार्वजनिक पहुंच का उद्घाटन है उचित प्रमाणीकरण सेटिंग्स के बिना।
गलती या लापरवाही से, अनुरोध हैंडलर खुद को आंतरिक पते 127.0.0.1 (लोकलहोस्ट) पर नहीं, बल्कि बाहरी एक सहित सभी नेटवर्क इंटरफेस में संलग्न करता है। MongoDB में, यह व्यवहार नमूना कॉन्फ़िगरेशन द्वारा सुविधाजनक है जो डिफ़ॉल्ट रूप से पेश किया जाता है, और संस्करण 6.8 से पहले इलास्टिसर्च में, मुफ्त संस्करण एक्सेस कंट्रोल का समर्थन नहीं करता था।
वीपीएन प्रदाता «यूएफओ» के साथ इतिहास सांकेतिक है, जिसने सार्वजनिक रूप से उपलब्ध 894GB एलिटिक्स खोज डेटाबेस का खुलासा किया।
प्रदाता स्वयं को उपयोगकर्ता की गोपनीयता के बारे में चिंतित करता है और रिकॉर्ड नहीं रखते। जो कहा गया था उसके विपरीत, डेटाबेस में रिकॉर्ड थे पॉप-अप जिसमें IP पते, सत्र का समय, उपयोगकर्ता के स्थान टैग, उपयोगकर्ता के ऑपरेटिंग सिस्टम और डिवाइस के बारे में जानकारी और असुरक्षित HTTP ट्रैफ़िक में विज्ञापन सम्मिलित करने के लिए डोमेन की सूचियों की जानकारी शामिल थी।
इसके अलावा, डेटाबेस में स्पष्ट पाठ एक्सेस पासवर्ड थे और सत्र कुंजियाँ, जिन्होंने अंतःस्थापित सत्रों को डिक्रिप्ट करने की अनुमति दी।
वीपीएन प्रदाता «यूएफओ» 1 जुलाई को इस मुद्दे की जानकारी दी गई, लेकिन संदेश दो सप्ताह तक अनुत्तरित रहा और एक और अनुरोध 14 जुलाई को होस्टिंग प्रदाता को भेजा गया था, जिसके बाद 15 जुलाई को डेटाबेस की सुरक्षा की गई।
डेटाबेस को ले जाकर कंपनी ने अधिसूचना का जवाब दिया दूसरे स्थान पर, लेकिन एक बार फिर वह इसे ठीक से सुरक्षित नहीं कर सका। लंबे समय के बाद नहीं, मेव के हमले ने उसे मिटा दिया।
20 जुलाई को, यह डेटाबेस एक अलग आईपी पर सार्वजनिक डोमेन में फिर से दिखाई दिया। कुछ ही घंटों में, डेटाबेस से लगभग सभी डेटा हटा दिए गए। इस विलोपन के विश्लेषण से पता चला कि यह डिलीट होने के बाद डेटाबेस में छोड़े गए इंडेक्स के नाम से मेव नामक एक बड़े हमले से जुड़ा था।
"एक बार जब उजागर किए गए डेटा को सुरक्षित कर लिया गया था, तो यह 20 जुलाई को एक अलग आईपी पते पर दूसरी बार फिर से दिखाई दिया: 'मेव' रोबोट द्वारा एक और हमले से सभी रिकॉर्ड नष्ट हो गए," डियाचेंको ने इस सप्ताह के शुरू में ट्वीट किया था। ।
विक्टर गेवर्स, गैर-लाभकारी नींव के अध्यक्ष जीडीआई, नए हमले का भी गवाह बना। उनका दावा है कि अभिनेता MongoDB के उजागर डेटाबेस पर भी हमला कर रहा है। अन्वेषक ने गुरुवार को देखा कि जो भी हमले के पीछे है, वह किसी भी डेटाबेस को लक्षित करता प्रतीत होता है जो इंटरनेट पर सुरक्षित और सुलभ नहीं है।
एक खोज Shodan सेवा के माध्यम से दिखाया कि कई सौ और सर्वर भी हटाने के शिकार हो गए थे। अब दूरस्थ डेटाबेस की संख्या 4000 मीटर के करीब आ रही हैइनमें से 97% से अधिक Elasticsearch और MongoDB डेटाबेस हैं।
LeakIX के अनुसार, एक परियोजना जो खुली सेवाओं को अनुक्रमित करती है, Apache ZooKeeper को भी लक्षित किया गया था। एक और कम दुर्भावनापूर्ण हमले में 616 ElasticSearch, MongoDB और Cassandra फ़ाइलों के साथ स्ट्रिंग "यूनिवर्सिटी_सेबरसेक_एक्सपेरिमेंट" भी टैग किया गया।
शोधकर्ताओं ने सुझाव दिया कि इन हमलों में, हमलावर डेटाबेस मेंटेनर को प्रदर्शित करने के लिए दिखाई देते हैं कि फाइलें देखने या हटाने के लिए असुरक्षित हैं।