Meong adalah serangan yang terus mendapatkan momentum dan itu selama beberapa hari sekarangBerbagai berita telah dirilis di mana berbagai serangan tak dikenal menghancurkan data di fasilitas yang tidak dilindungi Akses publik Elasticsearch dan MongoDB.
Selain itu kasus pembersihan yang terisolasi juga dicatat (sekitar 3% dari total korban) untuk database yang tidak dilindungi berdasarkan Apache Cassandra, CouchDB, Redis, Hadoop, dan Apache ZooKeeper.
Tentang Meong
Serangan tersebut dilakukan melalui bot yang mencantumkan port jaringan DBMS khas. Studi tentang serangan pada server honeypot palsu telah menunjukkan hal itu koneksi bot dibuat melalui ProtonVPN.
Penyebab permasalahan tersebut adalah terbukanya akses publik terhadap database tanpa pengaturan otentikasi yang tepat.
Karena kesalahan atau kecerobohan, penangan permintaan menempelkan dirinya sendiri bukan ke alamat internal 127.0.0.1 (localhost), tetapi ke semua antarmuka jaringan, termasuk yang eksternal. Di MongoDB, perilaku ini difasilitasi oleh konfigurasi sampel yang ditawarkan secara default, dan di Elasticsearch sebelum versi 6.8, versi gratisnya tidak mendukung kontrol akses.
Sejarah dengan penyedia VPN «UFO» adalah indikasi, yang mengungkapkan database Elasticsearch 894 GB yang tersedia untuk umum.
Penyedia memposisikan dirinya sebagai orang yang peduli dengan privasi pengguna dan tidak menyimpan catatan. Bertentangan dengan apa yang dikatakan, ada catatan di database Pop-up yang menyertakan informasi tentang alamat IP, link sesi ke waktu, tag lokasi pengguna, informasi tentang sistem operasi dan perangkat pengguna, dan daftar domain untuk memasukkan iklan ke dalam lalu lintas HTTP yang tidak dilindungi.
Selain itu, database berisi password akses teks yang jelas dan kunci sesi, yang memungkinkan sesi yang dicegat untuk didekripsi.
Penyedia VPN «UFO» diberitahu tentang masalah ini pada 1 Juli, tetapi pesan itu tetap tidak terjawab selama dua minggu dan permintaan lain dikirim ke penyedia hosting pada 14 Juli, setelah itu database dilindungi pada 15 Juli.
Perusahaan menanggapi pemberitahuan tersebut dengan memindahkan database ke lokasi lain, tapi sekali lagi dia tidak bisa mengamankannya dengan benar. Tidak lama setelah itu, serangan Meow memusnahkannya.
Sejak tanggal 20 Juli, database ini muncul kembali di domain publik pada IP yang berbeda. Dalam hitungan jam, hampir semua data telah dihapus dari database. Analisis penghapusan ini menunjukkan bahwa itu terkait dengan serangan besar-besaran yang disebut Meong dari nama indeks yang tersisa di database setelah penghapusan.
"Setelah data yang terbuka diamankan, data itu muncul kembali untuk kedua kalinya pada 20 Juli di alamat IP yang berbeda: semua catatan dihancurkan oleh serangan lain oleh robot 'Meong'," tweet Diachenko awal pekan ini. .
Victor Gevers, presiden yayasan nirlaba GDI, juga menyaksikan serangan baru tersebut. Dia mengklaim bahwa aktor tersebut juga menyerang database MongoDB yang terbuka. Penyelidik mencatat hari Kamis bahwa siapa pun yang berada di balik serangan itu tampaknya menargetkan basis data apa pun yang tidak aman dan dapat diakses di Internet.
Pencarian melalui layanan Shodan menunjukkan bahwa beberapa ratus lebih server juga menjadi korban penghapusan. Sekarang jumlah database jauh mendekati 4000 yang mLebih dari 97% di antaranya adalah database Elasticsearch dan MongoDB.
Menurut LeakIX, sebuah proyek yang mengindeks layanan terbuka, Apache ZooKeeper juga menjadi sasaran. Serangan lain yang tidak terlalu berbahaya juga menandai file 616 ElasticSearch, MongoDB dan Cassandra dengan string "university_cybersec_experiment".
Para peneliti menyarankan bahwa dalam serangan ini, penyerang tampaknya menunjukkan kepada pengelola database bahwa file rentan untuk dilihat atau dihapus.