A Miau olyan támadás, amely folyamatosan lendületet vesz és már több napjas különféle híreket adtak ki amelynek különféle ismeretlen támadások megsemmisítik a védtelen létesítményekben lévő adatokat Elasticsearch és MongoDB nyilvános hozzáférés.
Amellett, hogy a tisztítás egyes eseteit is rögzítették (az összes áldozat körülbelül 3% -a) az Apache Cassandra, a CouchDB, a Redis, a Hadoop és az Apache ZooKeeper alapú védtelen adatbázisokhoz.
Meow-ról
A támadást egy boton keresztül hajtják végre, amely felsorolja a DBMS hálózati portjait tipikus. A hamis honeypot szerver elleni támadás vizsgálata azt mutatta a bot kapcsolat a ProtonVPN-en keresztül történik.
A problémák oka az nyilvános hozzáférés megnyitása az adatbázishoz megfelelő hitelesítési beállítások nélkül.
Tévedésből vagy gondatlanságból a kérelemkezelő nem a 127.0.0.1 (localhost) belső címhez, hanem az összes hálózati csatolóhoz kapcsolódik, beleértve a külsőt is. A MongoDB-ben ezt a viselkedést megkönnyíti a minta konfigurációja amelyet alapértelmezés szerint kínálnak, és az Elasticsearch 6.8 előtti verziójában az ingyenes verzió nem támogatta a hozzáférés-vezérlést.
Az „UFO” VPN-szolgáltató előzményei tájékoztató jellegűek, amely nyilvánosan elérhető 894 GB-os Elasticsearch adatbázist tárt fel.
A szolgáltató aggasztónak találta magát a felhasználói adatvédelem miatt és nem vezet nyilvántartást. Az elmondottakkal ellentétben voltak rekordok az adatbázisban Előugró ablakok, amelyek információkat tartalmaznak az IP-címekről, a munkamenet és az idő közötti linkről, a felhasználó helycímkéiről, a felhasználó operációs rendszeréről és eszközéről, valamint domainek listájáról, hogy hirdetéseket illesszenek be a nem védett HTTP-forgalomba.
Ezen túlmenően, az adatbázis tiszta szöveges hozzáférési jelszavakat tartalmazott és session kulcsok, amelyek lehetővé tették az elfogott munkamenetek visszafejtését.
VPN-szolgáltató «UFO» július 1-jén tájékoztatták a kérdésről, de az üzenet két hétig megválaszolatlan maradt és újabb kérést küldtek a tárhelyszolgáltatónak július 14-én, ezt követően az adatbázist július 15-én védték.
A társaság az értesítésre az adatbázis áthelyezésével reagált egy másik helyre, de még egyszer nem tudta rendesen rögzíteni. Nem sokkal később Meow támadása megsemmisítette.
Mivel július 20-án ez az adatbázis egy másik IP-n jelent meg újra a nyilvánosság előtt. Néhány óra alatt szinte az összes adatot eltávolították az adatbázisból. Ennek a törlésnek az elemzése azt mutatta, hogy egy hatalmas Meow nevű támadással társult a törlés után az adatbázisban maradt indexek nevéből.
"Miután a nyilvánosságra hozott adatokat biztonságossá tették, július 20-án másodszor is megjelentek egy másik IP-címen: az összes rekordot megsemmisítette a" Meow "robot újabb támadása" - tweetelt Diachenko a hét elején. .
Victor Gevers, a nonprofit alapítvány elnöke A GDI is tanúja volt az új támadásnak. Állítása szerint a színész a MongoDB leleplezett adatbázisait is támadja. A nyomozó csütörtökön megjegyezte, hogy bárki is áll a támadás mögött, úgy tűnik, minden olyan adatbázist megcéloz, amely nem biztonságos és nem érhető el az interneten.
Egy keresés Shodan szolgálaton keresztül megmutatta, hogy további száz szerver is az eltávolítás áldozatává vált. Most a távoli adatbázisok száma megközelíti a 4000-et, ebből mEzeknek több mint 97% -a Elasticsearch és MongoDB adatbázis.
A nyílt szolgáltatásokat indexelő LeakIX projekt szerint az Apache ZooKeeper-t is megcélozták. Egy másik kevésbé rosszindulatú támadás a 616 ElasticSearch, MongoDB és Cassandra fájlokat az "university_cybersec_experiment" karakterlánccal is megcímkézte.
A kutatók azt javasolták, hogy ezekben a támadásokban a támadók látszólag bizonyítsák az adatbázis-fenntartóknak, hogy a fájlok sérülékenyek a megtekintés vagy törlés szempontjából.