Mjau ir uzbrukums, kas turpina uzņemt apgriezienus un tā ir jau vairākas dienass ir izlaistas dažādas ziņas kurā dažādi nezināmi uzbrukumi iznīcina datus neaizsargātās telpās Elasticsearch un MongoDB publiska piekļuve.
Bez tam Fiksēti arī atsevišķi tīrīšanas gadījumi (kopā aptuveni 3% no visiem upuriem) par neaizsargātām datu bāzēm, kuru pamatā ir Apache Cassandra, CouchDB, Redis, Hadoop un Apache ZooKeeper.
Par Ņau
Uzbrukums tiek veikts, izmantojot robotu, kurā ir uzskaitīti DBVS tīkla porti tipisks. Pētījums par uzbrukumu viltotam medus servera serverim to parādīja robota savienojums tiek veikts, izmantojot ProtonVPN.
Problēmu cēlonis ir publiskas piekļuves atvēršana datu bāzei bez pareiziem autentifikācijas iestatījumiem.
Kļūdas vai neuzmanības dēļ pieprasījumu apstrādātājs piesaista nevis iekšējo adresi 127.0.0.1 (localhost), bet gan visas tīkla saskarnes, ieskaitot ārējo. Programmā MongoDB šo rīcību veicina izlases konfigurācija kas tiek piedāvāts pēc noklusējuma, un Elasticsearch pirms 6.8 versijas bezmaksas versija neatbalstīja piekļuves kontroli.
Vēsture ar VPN nodrošinātāju «NLO» ir orientējoša, kurā tika atklāta publiski pieejama datu bāze 894 GB Elasticsearch.
Pakalpojumu sniedzējs sevi uztrauca par lietotāju privātumu un uzskaites neturēšana. Pretēji teiktajam datu bāzē bija ieraksti Uznirstošie logi, kas ietvēra informāciju par IP adresēm, sesijas saistību ar laiku, lietotāja atrašanās vietas tagus, informāciju par lietotāja operētājsistēmu un ierīci un domēnu sarakstus, lai reklāmas ievietotu neaizsargātā HTTP trafikā.
Turklāt, datu bāzē bija skaidras teksta piekļuves paroles un sesijas atslēgas, kas ļāva atšifrēt pārtvertās sesijas.
VPN nodrošinātājs «NLO» tika informēta par šo jautājumu 1. jūlijā, bet ziņa palika neatbildēta divas nedēļas un vēl viens pieprasījums tika nosūtīts mitināšanas pakalpojumu sniedzējam 14. jūlijā, pēc tam datu bāze tika aizsargāta 15. jūlijā.
Uzņēmums atbildēja uz paziņojumu, pārvietojot datu bāzi uz citu vietu, bet vēlreiz viņš to nevarēja pienācīgi nostiprināt. Neilgi pēc tam Mjau uzbrukums viņu iznīcināja.
Kopš 20. jūlija šī datubāze atkal parādījās publiskā domēnā ar citu IP. Dažu stundu laikā gandrīz visi dati tika noņemti no datu bāzes. Šīs dzēšanas analīze parādīja, ka tā bija saistīta ar masveida uzbrukumu ar nosaukumu Meow no indeksu nosaukuma, kas pēc dzēšanas palika datubāzē.
"Kad atklātie dati tika nodrošināti, tie 20. jūlijā atkal parādījās otro reizi ar citu IP adresi: visus ierakstus iznīcināja vēl viens robota" Meow "uzbrukums," šīs nedēļas sākumā tvītoja Diačenko. .
Viktors Gevers, bezpeļņas fonda prezidents Arī GDI bija liecinieks jaunajam uzbrukumam. Viņš apgalvo, ka aktieris uzbrūk arī MongoDB atklātajām datu bāzēm. Izmeklētājs ceturtdien novēroja, ka tas, kurš ir uzbrukuma cēlonis, šķiet, ir vērsts uz jebkuru datu bāzi, kas nav droša un pieejama internetā.
Meklēšana izmantojot Šodana dienestu parādīja, ka vēl vairāki simti serveru ir kļuvuši arī par izņemšanas upuriem. Tagad attālināto datu bāzu skaits tuvojas 4000, no kuriem mVairāk nekā 97% no tiem ir Elasticsearch un MongoDB datu bāzes.
Saskaņā ar projektu LeakIX, kas indeksē atvērtos pakalpojumus, mērķauditorija bija arī Apache ZooKeeper. Vēl viens mazāk ļaunprātīgs uzbrukums atzīmēja 616 ElasticSearch, MongoDB un Cassandra failus ar virkni "university_cybersec_experiment".
Pētnieki ieteica, ka šajos uzbrukumos uzbrucēji, šķiet, demonstrē datu bāzes uzturētājiem, ka faili ir neaizsargāti pret skatīšanu vai dzēšanu.