ニャーは勢いを増し続ける攻撃です そしてそれは今数日間それです様々なニュースがリリースされています その中で さまざまな未知の攻撃により、保護されていない施設のデータが破壊されます ElasticsearchとMongoDBのパブリックアクセス。
それに加えて クリーニングの孤立したケースも記録されました Apache Cassandra、CouchDB、Redis、Hadoop、およびApache ZooKeeperに基づく保護されていないデータベースの場合(合計の被害者全体の約3%)。
ニャーについて
攻撃は、DBMSネットワークポートを一覧表示するボットを介して実行されます 典型的な。 偽のハニーポットサーバーへの攻撃の調査では、 ボット接続はProtonVPNを介して行われます。
問題の原因は、データベースへのパブリックアクセスの開放です。 適切な認証設定なし。
誤ってまたは不注意に、リクエストハンドラは、内部アドレス127.0.0.1(localhost)ではなく、外部インターフェイスを含むすべてのネットワークインターフェイスに接続します。 MongoDBでは、この動作はサンプル構成によって容易になります これはデフォルトで提供されており、バージョン6.8より前のElasticsearchでは、無料バージョンはアクセス制御をサポートしていませんでした。
VPNプロバイダー«UFO»の歴史は示唆的です、公開されている894GBElasticsearchデータベースが明らかになりました。
プロバイダーは、ユーザーのプライバシーを懸念していると位置付けました 記録をつけていません。 言われたことに反して、データベースに記録がありました IPアドレス、時間へのセッションのリンク、ユーザーのロケーションタグ、ユーザーのオペレーティングシステムとデバイスに関する情報、および保護されていないHTTPトラフィックに広告を挿入するためのドメインのリストに関する情報を含むポップアップ。
さらに、 データベースにはクリアテキストのアクセスパスワードが含まれていました 傍受されたセッションを復号化できるセッションキー。
VPNプロバイダー«UFO» 1月XNUMX日に問題が通知されました、しかしメッセージはXNUMX週間未回答のままでした 14月XNUMX日に、別のリクエストがホスティングプロバイダーに送信されました。 その後、データベースは15月XNUMX日に保護されました。
同社はデータベースを移動することで通知に対応しました 別の場所に、 しかし、もう一度、彼はそれを適切に確保することができませんでした。 その後間もなく、Meowの攻撃で彼女は一掃されました。
20月XNUMX日以降、このデータベースは別のIPのパブリックドメインに再表示されました。 ほんの数時間で、ほとんどすべてのデータがデータベースから削除されました。 この削除の分析は、削除後にデータベースに残されたインデックスの名前からMeowと呼ばれる大規模な攻撃に関連していることを示しました。
「公開されたデータが保護されると、20月XNUMX日に別のIPアドレスでXNUMX度目に再表示されました。すべてのレコードは「Meow」ロボットによる別の攻撃によって破壊されました」とDiachenkoは今週初めにツイートしました。 。
非営利財団の会長、ビクター・ゲーバーズ GDIも、新しい攻撃を目撃しました。 彼は、アクターがMongoDBの公開されたデータベースも攻撃していると主張しています。 捜査官は木曜日に、攻撃の背後にいる人は誰でも、インターネット上で安全でアクセスできないデータベースを標的にしているようだと指摘しました。
検索 Shodanサービスを通じて さらに数百台のサーバーが削除の犠牲になったことが示されました。 現在、リモートデータベースの数は4000に近づいており、そのうちmこれらの97%以上は、ElasticsearchおよびMongoDBデータベースです。
オープンサービスのインデックスを作成するプロジェクトであるLeakIXによると、ApacheZooKeeperもターゲットにされました。 もう616つの悪意のない攻撃では、XNUMX個のElasticSearch、MongoDB、およびCassandraファイルに文字列「university_cybersec_experiment」のタグが付けられました。
研究者は、これらの攻撃では、攻撃者はファイルが表示または削除に対して脆弱であることをデータベースの保守担当者に示しているように見えることを示唆しました。