Meow는 계속해서 추진력을 얻는 공격입니다. 그리고 그것은 지금 며칠 동안s는 다양한 뉴스를 발표했습니다 어떤의 알려지지 않은 다양한 공격으로 보호되지 않은 시설의 데이터 파괴 Elasticsearch 및 MongoDB 퍼블릭 액세스.
그 외에 격리 된 청소 사례도 기록되었습니다. (전체 피해자의 약 3 %) Apache Cassandra, CouchDB, Redis, Hadoop 및 Apache ZooKeeper를 기반으로하는 보호되지 않은 데이터베이스의 경우.
야옹 소개
공격은 DBMS 네트워크 포트를 나열하는 봇을 통해 수행됩니다. 전형적인. 가짜 허니팟 서버에 대한 공격 연구에 따르면 봇 연결은 ProtonVPN을 통해 이루어집니다.
문제의 원인은 데이터베이스에 대한 공개 액세스의 개방입니다. 적절한 인증 설정없이.
실수 나 부주의로 인해 요청 처리기는 내부 주소 127.0.0.1 (localhost)이 아니라 외부 주소를 포함한 모든 네트워크 인터페이스에 연결됩니다. MongoDB에서이 동작은 샘플 구성에 의해 촉진됩니다. 기본적으로 제공되며 Elasticsearch 6.8 이전 버전에서는 무료 버전이 액세스 제어를 지원하지 않았습니다.
VPN 제공 업체«UFO»의 역사를 알 수 있습니다., 공개적으로 사용 가능한 894GB Elasticsearch 데이터베이스를 공개했습니다.
공급자는 사용자 개인 정보에 대한 우려로 자리 매김했습니다. 기록을 보관하지 않습니다. 말한 것과 달리 데이터베이스에 기록이 있습니다. IP 주소에 대한 정보, 시간에 대한 세션 링크, 사용자의 위치 태그, 사용자의 운영 체제 및 장치에 대한 정보, 보호되지 않은 HTTP 트래픽에 광고를 삽입하기위한 도메인 목록이 포함 된 팝업.
또한, 데이터베이스에 일반 텍스트 액세스 암호가 포함되어 있습니다. 인터셉트 된 세션을 해독 할 수있는 세션 키.
VPN 제공 업체«UFO» 1 월 XNUMX 일에이 문제를 통보 받았습니다., 그러나 메시지는 XNUMX 주 동안 응답이 없습니다. 14 월 XNUMX 일에 호스팅 제공 업체에 또 다른 요청이 전송되었습니다. 그 후 데이터베이스는 15 월 XNUMX 일에 보호되었습니다.
회사는 데이터베이스를 이동하여 알림에 응답했습니다. 다른 위치로 그러나 다시 한번 그는 그것을 제대로 확보하지 못했습니다.. 얼마 지나지 않아 Meow의 공격으로 그녀가 사라졌습니다.
20 월 XNUMX 일 이후로이 데이터베이스는 다른 IP의 공개 도메인에 다시 나타났습니다. 몇 시간 만에 거의 모든 데이터가 데이터베이스에서 제거되었습니다. 이 삭제 분석에 따르면 삭제 후 데이터베이스에 남아있는 인덱스 이름에서 Meow라는 대규모 공격과 관련이있는 것으로 나타났습니다.
"노출 된 데이터가 보호 된 후 20 월 XNUMX 일 다른 IP 주소에서 두 번째로 다시 나타났습니다. 모든 기록은 '야옹'로봇의 또 다른 공격으로 파괴되었습니다." .
비영리 재단 회장 Victor Gevers GDI도 새로운 공격을 목격했습니다. 그는 행위자가 MongoDB의 노출 된 데이터베이스도 공격하고 있다고 주장합니다. 수사관은 목요일 공격의 배후에있는 사람은 안전하지 않고 인터넷에서 액세스 할 수없는 데이터베이스를 표적으로 삼는 것으로 보인다고 밝혔다.
검색 Shodan 서비스를 통해 수백 대 이상의 서버도 제거의 희생자가되었음을 보여주었습니다.. 이제 원격 데이터베이스의 수가 4000 개에 가까워지고 있습니다.이들 중 97 % 이상이 Elasticsearch 및 MongoDB 데이터베이스입니다.
개방형 서비스를 인덱싱하는 프로젝트 인 LeakIX에 따르면 Apache ZooKeeper도 표적이되었습니다. 덜 악의적 인 또 다른 공격은 "university_cybersec_experiment"문자열로 616 개의 ElasticSearch, MongoDB 및 Cassandra 파일에 태그를 지정했습니다.
연구원들은 이러한 공격에서 공격자가 파일이 열람 또는 삭제에 취약하다는 것을 데이터베이스 관리자에게 보여주는 것처럼 보인다고 제안했습니다.