Miau yra ataka, kuri vis įgauna pagreitį ir tai jau kelias dienasbuvo išleista įvairių žinių , kurioje įvairių nežinomų išpuolių duomenys sunaikinami neapsaugotose patalpose „Elasticsearch“ ir „MongoDB“ vieša prieiga.
neskaitant to taip pat užfiksuoti pavieniai valymo atvejai (iš viso apie 3% visų aukų) - neapsaugotoms duomenų bazėms, pagrįstoms „Apache Cassandra“, „CouchDB“, „Redis“, „Hadoop“ ir „Apache ZooKeeper“.
Apie Miau
Ataka vykdoma per robotą, kuriame išvardyti DBVS tinklo prievadai tipiškas. Netikro „honeypot“ serverio atakos tyrimas tai parodė roboto ryšys atliekamas per „ProtonVPN“.
Problemų priežastis yra viešos prieigos prie duomenų bazės atidarymas be tinkamų autentifikavimo nustatymų.
Dėl klaidos ar neatsargumo užklausų tvarkytojas prisiriša ne prie vidinio adreso 127.0.0.1 (localhost), bet prie visų tinklo sąsajų, įskaitant išorinę. „MongoDB“ tokį elgesį palengvina imties konfigūracija kuris yra siūlomas pagal numatytuosius nustatymus, o „Elasticsearch“ iki 6.8 versijos nemokama versija nepalaikė prieigos kontrolės.
VPN teikėjo „UFO“ istorija yra orientacinė, kuri atskleidė viešai prieinamą 894 GB „Elasticsearch“ duomenų bazę.
Teikėjas laikėsi susirūpinęs dėl vartotojo privatumo ir nevedant apskaitos. Priešingai nei buvo pasakyta, duomenų bazėje buvo įrašų Iššokantys langai, kuriuose buvo informacija apie IP adresus, seanso susiejimas su laiku, vartotojo vietovės žymos, informacija apie vartotojo operacinę sistemą ir įrenginį bei domenų sąrašai, įterpiantys skelbimus į neapsaugotą HTTP srautą.
Be to, duomenų bazėje buvo aiškūs prieigos prie teksto slaptažodžiai ir seanso raktus, kurie leido iššifruoti perimtus seansus.
VPN teikėjas «NSO» buvo informuotas apie šį klausimą liepos 1 d, tačiau dvi savaites žinutė liko neatsakyta ir dar viena užklausa buvo išsiųsta prieglobos paslaugų teikėjui liepos 14 d. po to duomenų bazė buvo apsaugota liepos 15 d.
Bendrovė į pranešimą atsakė perkeldama duomenų bazę į kitą vietą, bet dar kartą jis negalėjo tinkamai jo apsaugoti. Neilgai trukus Miau ataka ją išnaikino.
Nuo liepos 20 d. Ši duomenų bazė vėl pasirodė viešojoje erdvėje kitu IP. Per kelias valandas beveik visi duomenys buvo pašalinti iš duomenų bazės. Šio ištrynimo analizė parodė, kad jis buvo susijęs su didžiuliu išpuoliu, vadinamu Miau iš indeksų, kurie liko po duomenų ištrynimo, pavadinimo.
„Užtikrinus paviešintus duomenis, jie antrą kartą vėl pasirodė liepos 20 dieną kitu IP adresu: visus įrašus sunaikino dar viena„ Meow “roboto ataka“, - anksčiau šią savaitę tweeted Diachenko. .
Viktoras Geversas, ne pelno siekiančio fondo prezidentas Naujosios atakos liudininkai buvo ir GDI. Jis tvirtina, kad aktorius taip pat atakuoja MongoDB atviras duomenų bazes. Tyrėjas ketvirtadienį pažymėjo, kad kas užpuolė ataką, atrodo, kad ji nukreipta į bet kurią duomenų bazę, kuri nėra saugi ir prieinama internete.
Paieškos per Šodano tarnybą parodė, kad dar keli šimtai serverių taip pat tapo pašalinimo aukomis. Dabar nuotolinių duomenų bazių skaičius artėja prie 4000, iš jų mDaugiau nei 97% jų yra „Elasticsearch“ ir „MongoDB“ duomenų bazės.
Pasak „LeakIX“, atvirų paslaugų indeksavimo projekto, taip pat buvo skirta „Apache ZooKeeper“. Kita mažiau kenkėjiška ataka taip pat pažymėjo 616 „ElasticSearch“, „MongoDB“ ir „Cassandra“ failus eilute „university_cybersec_experiment“.
Tyrėjai pasiūlė, kad šiose atakose užpuolikai, atrodo, parodytų duomenų bazių prižiūrėtojams, kad failus galima žiūrėti ar ištrinti.