מיאו היא התקפה שממשיכה לצבור תאוצה וזה כבר כמה ימיםהם פורסמו חדשות שונות בי התקפות לא ידועות שונות הורסות נתונים במתקנים לא מוגנים חיפושי אלסטיקה וגישה ציבורית של MongoDB.
חוץ מזה נרשמו גם מקרים בודדים של ניקיון (כ -3% מכלל הקורבנות) עבור מאגרי מידע לא מוגנים המבוססים על Apache Cassandra, CouchDB, Redis, Hadoop ו- Apache ZooKeeper.
על מיאו
ההתקפה מתבצעת באמצעות בוט המפרט את יציאות רשת ה- DBMS אופייני. המחקר על ההתקפה על שרת דבש מזויף הראה זאת חיבור הבוט מתבצע באמצעות ProtonVPN.
הגורם לבעיות הוא פתיחת הגישה הציבורית למאגר ללא הגדרות אימות מתאימות.
בטעות או בחוסר זהירות, מטפל הבקשות מצרף את עצמו לא לכתובת הפנימית 127.0.0.1 (localhost), אלא לכל ממשקי הרשת, כולל החיצוני. ב- MongoDB, התנהגות זו מקלה על ידי תצורת הדוגמה המוצעת כברירת מחדל, ובאלסטיקסearch לפני גרסה 6.8, הגרסה החינמית לא תמכה בבקרת גישה.
ההיסטוריה עם ספק ה- VPN "UFO" מעידה, שחשף מאגר מידע זמין לציבור של 894 ג'יגה בייט.
הספק מיקם את עצמו מודאג מפרטיות המשתמשים ולא לנהל רישומים. בניגוד למה שנאמר, היו רשומות במאגר חלונות קופצים שכללו מידע על כתובות IP, קישור ההפעלה לזמן, תגי המיקום של המשתמש, מידע על מערכת ההפעלה וההתקן של המשתמש, ורשימות תחומים להכנסת פרסומות לתעבורת HTTP לא מוגנת.
בנוסף, המאגר הכיל סיסמאות גישה לטקסט ברור ומפתחות הפעלה, שאפשרו לפענח את הפגישות היירוטות.
ספק ה- VPN «UFO» נמסר לנושא ב -1 ביולי, אך ההודעה נותרה ללא מענה במשך שבועיים ובקשה נוספת נשלחה לספק האירוח ב- 14 ביולי, לאחר מכן מוגן מסד הנתונים ב -15 ביולי.
החברה הגיבה להודעה בהעברת מסד הנתונים למיקום אחר, אבל שוב הוא לא הצליח לאבטח את זה כמו שצריך. זמן לא רב לאחר מכן, התקפתו של מיו חיסלה אותה.
מאז ב- 20 ביולי, מאגר זה הופיע שוב ברשות הציבור ברשות IP אחרת. בתוך מספר שעות כמעט כל הנתונים הוסרו ממאגר המידע. ניתוח מחיקה זו הראה שהיא קשורה להתקפה מסיבית בשם מיאו משם האינדקסים שנותרו במאגר לאחר המחיקה.
"לאחר אבטחת הנתונים החשופים, הם הופיעו בפעם השנייה ב -20 ביולי בכתובת IP אחרת: כל הרשומות הושמדו על ידי מתקפה נוספת של הרובוט 'מיאו'", צייץ דיאצ'נקו בתחילת השבוע. .
ויקטור גברס, נשיא הקרן ללא מטרות רווח GDI, גם היה עד להתקפה החדשה. לטענתו, השחקן תוקף גם את מאגרי המידע החשופים של MongoDB. החוקר ציין ביום חמישי כי נראה כי מי שעומד מאחורי הפיגוע מכוון לכל מאגר מידע שאינו מאובטח ונגיש באינטרנט.
חיפוש באמצעות שירות שודן הראה כי כמה מאות שרתים נוספים הפכו גם הם לקורבנות ההסרה. כעת מספר מאגרי המידע המרוחקים מתקרב ל -4000 מתוכם מ 'יותר מ 97% מהם הם מאגרי מידע אלסטיקס ו MongoDB.
על פי LeakIX, פרויקט שמפתח אינדקס של שירותים פתוחים, גם אפאצ'י ZooKeeper היה ממוקד. מתקפה נוספת פחות זדונית תייגה גם 616 קבצי ElasticSearch, MongoDB ו- Cassandra עם המחרוזת "university_cybersec_experiment".
החוקרים הציעו כי בהתקפות אלה נראה כי התוקפים מדגימים בפני מתחזי מסדי הנתונים כי הקבצים חשופים לצפייה או למחיקה.