Meow adalah serangan yang terus mendapat momentum dan itulah selama beberapa hari sekarangs telah dikeluarkan pelbagai berita di mana pelbagai serangan yang tidak diketahui memusnahkan data di kemudahan yang tidak dilindungi Akses awam Elasticsearch dan MongoDB.
selain itu kes pembersihan terpencil juga direkodkan (kira-kira 3% dari keseluruhan mangsa) untuk pangkalan data yang tidak dilindungi berdasarkan Apache Cassandra, CouchDB, Redis, Hadoop, dan Apache ZooKeeper.
Mengenai Meow
Serangan itu dilakukan melalui bot yang menyenaraikan port rangkaian DBMS khas. Kajian mengenai serangan pada pelayan honeypot palsu telah menunjukkan bahawa sambungan bot dibuat melalui ProtonVPN.
Punca masalah adalah pembukaan akses orang ramai ke pangkalan data tanpa tetapan pengesahan yang betul.
Dengan kesilapan atau kecerobohan, pengendali permintaan melampirkan dirinya bukan ke alamat dalaman 127.0.0.1 (localhost), tetapi ke semua antara muka rangkaian, termasuk yang luaran. Di MongoDB, tingkah laku ini difasilitasi oleh konfigurasi sampel yang ditawarkan secara lalai, dan di Elasticsearch sebelum versi 6.8, versi percuma tidak menyokong kawalan akses.
Sejarah dengan penyedia VPN «UFO» sangat menunjukkan, yang mendedahkan pangkalan data Elasticsearch 894GB yang tersedia untuk umum.
Pembekal meletakkan dirinya sebagai prihatin terhadap privasi pengguna dan tidak menyimpan rekod. Berbeza dengan apa yang dikatakan, ada catatan dalam pangkalan data Munculan yang merangkumi maklumat mengenai alamat IP, pautan sesi ke waktu, tag lokasi pengguna, maklumat mengenai sistem operasi dan peranti pengguna, dan daftar domain untuk memasukkan iklan ke dalam trafik HTTP yang tidak dilindungi.
Selain itu, pangkalan data mengandungi kata laluan akses teks yang jelas dan kunci sesi, yang membolehkan sesi yang dipintas dapat didekripsi.
Penyedia VPN «UFO» dimaklumkan mengenai isu tersebut pada 1 Julai, tetapi mesej itu tidak dijawab selama dua minggu dan permintaan lain dihantar ke penyedia hosting pada 14 Julai, selepas itu pangkalan data dilindungi pada 15 Julai.
Syarikat itu membalas pemberitahuan tersebut dengan memindahkan pangkalan data ke lokasi lain, tetapi sekali lagi dia tidak dapat mengamankannya dengan betul. Tidak lama kemudian, serangan Meow menghancurkannya.
Sejak 20 Julai, pangkalan data ini muncul kembali di domain awam pada IP yang berbeza. Dalam hitungan jam, hampir semua data dikeluarkan dari pangkalan data. Analisis penghapusan ini menunjukkan bahawa ia dikaitkan dengan serangan besar-besaran yang disebut Meow dari nama indeks yang tersisa di pangkalan data setelah penghapusan.
"Setelah data yang terdedah diamankan, data itu muncul kembali untuk kedua kalinya pada 20 Juli di alamat IP yang berbeda: semua rekod dihancurkan oleh serangan lain oleh robot 'Meow'," tweet Diachenko awal minggu ini. .
Victor Gevers, presiden yayasan bukan untung GDI, juga menyaksikan serangan baru. Dia mendakwa bahawa pelakon itu juga menyerang pangkalan data MongoDB yang terdedah. Penyiasat menyatakan pada hari Khamis bahawa sesiapa yang berada di belakang serangan itu nampaknya menyasarkan pangkalan data yang tidak selamat dan dapat diakses di Internet.
Pencarian melalui perkhidmatan Shodan menunjukkan bahawa beberapa ratus pelayan lain juga menjadi mangsa penghapusan. Sekarang jumlah pangkalan data jauh menghampiri 4000 di antaranya mLebih daripada 97% daripadanya adalah pangkalan data Elasticsearch dan MongoDB.
Menurut LeakIX, sebuah projek yang mengindeks perkhidmatan terbuka, Apache ZooKeeper juga menjadi sasaran. Serangan lain yang kurang berniat jahat juga menandakan 616 fail ElasticSearch, MongoDB dan Cassandra dengan rentetan "universiti_cybersec_experiment".
Para penyelidik mencadangkan bahawa dalam serangan ini, penyerang tampaknya menunjukkan kepada penyelenggara pangkalan data bahawa fail tersebut mudah dilihat atau dihapus.