Meow: un ataque que destruye datos en DB desprotegidas de Elasticsearch y MongoDB

Meow es un ataque que continúa ganando impulso y es que desde hace ya varios días se han dado a conocer diversas noticias en el que diversos ataques desconocidos destruyen datos en instalaciones desprotegidas de acceso público de Elasticsearch y MongoDB.

Además de que también se registraron casos aislados de limpieza (aproximadamente el 3% de todas las víctimas en total) para bases de datos desprotegidas basadas en Apache Cassandra, CouchDB, Redis, Hadoop y Apache ZooKeeper.

Sobre Meow

El ataque se lleva a cabo a través de un bot que enumera los puertos de red DBMS típicos. El estudio del ataque en un servidor honeypot falso ha demostrado que la conexión del bot se realiza a través de ProtonVPN.

La causa de los problemas es la apertura del acceso público a la base de datos sin la configuración de autenticación adecuada.

Por error o descuido, el controlador de solicitud se adjunta no a la dirección interna 127.0.0.1 (localhost), sino a todas las interfaces de red, incluida la externa. En MongoDB, este comportamiento se ve facilitado por la configuración de muestra que se ofrece de forma predeterminada, y en Elasticsearch antes de la versión 6.8, la versión gratuita no era compatible con el control de acceso.

La historia con el proveedor de VPN «UFO» es indicativa, en la que se reveló una base de datos Elasticsearch de 894 GB disponible públicamente.

El proveedor se posicionó como preocupado por la privacidad del usuario y no guardando registros. Contrariamente a lo dicho, había registros en la base de datos emergente que incluían información sobre las direcciones IP, el enlace de la sesión al tiempo, las etiquetas de ubicación del usuario, información sobre el sistema operativo y el dispositivo del usuario, y listas de dominios para insertar anuncios en el tráfico HTTP desprotegido.

Además, la base de datos contenía contraseñas de acceso de texto sin cifrar y claves de sesión, lo que permitió descifrar las sesiones interceptadas.

El proveedor de VPN «UFO» fue informado del problema el 1 de julio, pero el mensaje permaneció sin respuesta durante dos semanas y se envió otra solicitud al proveedor de alojamiento el 14 de julio, después de lo cual la base de datos estuvo protegida el 15 de julio.

La compañía respondió a la notificación de moviendo la base de datos a otra ubicación, pero una vez más no pudo asegurarla adecuadamente. No mucho después, el ataque de Meow la aniquiló.

Ya que el 20 de julio, esta base de datos volvió a aparecer en el dominio público en una IP diferente. En cuestión de horas, se eliminaron casi todos los datos de la base de datos. El análisis de esta eliminación mostró que estaba asociado con un ataque masivo llamado Meow por el nombre de los índices que quedan en la base de datos después de la eliminación.

«Una vez que los datos expuestos fueron asegurados, volvieron a aparecer por segunda vez el 20 de julio en una dirección IP diferente: todos los registros fueron destruidos por otro ataque del robot ‘Meow'», tuiteó Diachenko a principios de esta semana. .

Victor Gevers, presidente de la fundación sin fines de lucro GDI, también fue testigo del nuevo ataque. Afirma que el actor también está atacando las bases de datos expuestas de MongoDB. El investigador observó el jueves que quien está detrás del ataque aparentemente apunta a cualquier base de datos que no sea segura y accesible en Internet.

Una búsqueda a través del servicio Shodan mostró que varios cientos de servidores más también se habían convertido en víctimas de la eliminación. Ahora el número de bases de datos remotas se acerca a 4000 de las cuales más del 97% de estas son bases de datos Elasticsearch y MongoDB.

Según LeakIX, un proyecto que indexa servicios abiertos, Apache ZooKeeper también fue blanco del ataque. Otro ataque menos malicioso también etiquetó 616 archivos ElasticSearch, MongoDB y Cassandra con la cadena «university_cybersec_experiment». 

Los investigadores sugirieron que en estos ataques, los atacantes parecen demostrar a los mantenedores de bases de datos que los archivos son vulnerables a la visualización o eliminación.


Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: AB Internet Networks 2008 SL
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.