Miau to atak, który wciąż nabiera rozpędu i to już od kilku dnis zostały opublikowane różne wiadomości , w którym różne nieznane ataki niszczą dane w niechronionych obiektach Dostęp publiczny Elasticsearch i MongoDB.
poza tym odnotowano również pojedyncze przypadki czyszczenia (około 3% wszystkich ofiar) dla niezabezpieczonych baz danych opartych na Apache Cassandra, CouchDB, Redis, Hadoop i Apache ZooKeeper.
O Miau
Atak jest przeprowadzany za pośrednictwem bota, który wyświetla listę portów sieciowych DBMS typowy. Badanie ataku na fałszywy serwer honeypot pokazało, że połączenie z botem jest nawiązywane przez ProtonVPN.
Przyczyną problemów jest otwarcie publicznego dostępu do bazy danych bez odpowiednich ustawień uwierzytelniania.
Przez pomyłkę lub nieostrożność program obsługi żądań przyłącza się nie do adresu wewnętrznego 127.0.0.1 (localhost), ale do wszystkich interfejsów sieciowych, w tym do zewnętrznego. W MongoDB to zachowanie jest ułatwione dzięki przykładowej konfiguracji która jest oferowana domyślnie, aw Elasticsearch przed wersją 6.8, darmowa wersja nie obsługiwała kontroli dostępu.
Historia z dostawcą VPN „UFO” ma charakter orientacyjny, co ujawniło publicznie dostępną bazę danych Elasticsearch o pojemności 894 GB.
Dostawca przedstawił się jako osoba zaniepokojona prywatnością użytkowników i nie prowadzenie ewidencji. Wbrew temu, co zostało powiedziane, w bazie danych były rekordy Wyskakujące okienka zawierające informacje o adresach IP, odsyłacz z sesji do czasu, znaczniki lokalizacji użytkownika, informacje o systemie operacyjnym i urządzeniu użytkownika oraz listy domen do wstawiania reklam do niezabezpieczonego ruchu HTTP.
Ponadto, baza danych zawierała hasła dostępu w postaci jawnego tekstu oraz klucze sesji, które pozwoliły na odszyfrowanie przechwyconych sesji.
Dostawca VPN «UFO» został poinformowany o problemie 1 lipca, ale wiadomość pozostawała bez odpowiedzi przez dwa tygodnie a kolejne żądanie zostało wysłane do dostawcy hostingu 14 lipca, po czym baza danych została zabezpieczona 15 lipca.
Firma odpowiedziała na zgłoszenie przenosząc bazę danych w inne miejsce, ale po raz kolejny nie mógł go odpowiednio zabezpieczyć. Niedługo potem atak Miau zmiotł ją z powierzchni ziemi.
Od 20 lipca ta baza danych pojawiła się ponownie w domenie publicznej pod innym adresem IP. W ciągu kilku godzin prawie wszystkie dane zostały usunięte z bazy danych. Analiza tego usunięcia wykazała, że było to związane z masowym atakiem o nazwie Meow od nazwy indeksów pozostawionych w bazie danych po usunięciu.
„Gdy ujawnione dane zostały zabezpieczone, pojawiły się po raz drugi 20 lipca pod innym adresem IP: wszystkie rekordy zostały zniszczone przez kolejny atak robota„ Miau ”- napisał na Twitterze Diachenko na początku tego tygodnia. .
Victor Gevers, prezes fundacji non-profit GDI również był świadkiem nowego ataku. Twierdzi, że aktor atakuje również ujawnione bazy danych MongoDB. Badacz zauważył w czwartek, że osoba stojąca za atakiem wydaje się atakować każdą bazę danych, która nie jest bezpieczna i dostępna w Internecie.
Wyszukiwanie za pośrednictwem serwisu Shodan pokazało, że kilkaset innych serwerów również padło ofiarą usunięcia. Obecnie liczba zdalnych baz danych zbliża się do 4000, z czego mlnPonad 97% z nich to bazy danych Elasticsearch i MongoDB.
Według LeakIX, projektu indeksującego otwarte usługi, celem był również Apache ZooKeeper. Inny mniej złośliwy atak oznaczał również 616 plików ElasticSearch, MongoDB i Cassandra ciągiem znaków „university_cybersec_experiment”.
Badacze zasugerowali, że podczas tych ataków osoby atakujące wydają się demonstrować opiekunom baz danych, że pliki są podatne na przeglądanie lub usuwanie.