O miau é um ataque que continua ganhando força e é isso por vários dias agoras foram lançadas várias notícias em que vários ataques desconhecidos destroem dados em instalações desprotegidas Elasticsearch e acesso público ao MongoDB.
Além disso casos isolados de limpeza também foram registrados (aproximadamente 3% de todas as vítimas totais) para bancos de dados desprotegidos baseados em Apache Cassandra, CouchDB, Redis, Hadoop e Apache ZooKeeper.
sobre Miau
O ataque é realizado por meio de um bot que lista as portas de rede do DBMS típica. O estudo do ataque a um servidor honeypot falso mostrou que a conexão do bot é feita através do ProtonVPN.
A causa dos problemas é a abertura do acesso público ao banco de dados sem configurações de autenticação adequadas.
Por engano ou descuido, o manipulador de solicitação se anexa não ao endereço interno 127.0.0.1 (localhost), mas a todas as interfaces de rede, incluindo a externa. No MongoDB, esse comportamento é facilitado pela configuração de amostra que é oferecido por padrão, e no Elasticsearch anterior à versão 6.8, a versão gratuita não suportava controle de acesso.
O histórico com o provedor VPN «UFO» é indicativo, que revelou um banco de dados Elasticsearch de 894 GB disponível ao público.
O provedor se posicionou como preocupado com a privacidade do usuário e não manter registros. Ao contrário do que foi dito, existiam registros na base de dados Pop-ups que incluíam informações sobre endereços IP, o link da sessão para o horário, as tags de localização do usuário, informações sobre o sistema operacional e o dispositivo do usuário e listas de domínios para inserir anúncios em tráfego HTTP desprotegido.
Além disso, o banco de dados continha senhas de acesso em texto não criptografado e as chaves de sessão, que permitiam que as sessões interceptadas fossem descriptografadas.
O provedor VPN «UFO» foi informado do problema em 1º de julho, mas a mensagem permaneceu sem resposta por duas semanas e outra solicitação foi enviada ao provedor de hospedagem em 14 de julho, depois disso, o banco de dados foi protegido em 15 de julho.
A empresa respondeu à notificação movendo o banco de dados para outro local, mas mais uma vez ele não conseguiu segurá-lo adequadamente. Não muito depois, o ataque de Meow a matou.
Desde 20 de julho, este banco de dados reapareceu no domínio público em um IP diferente. Em questão de horas, quase todos os dados foram removidos do banco de dados. A análise dessa exclusão mostrou que ela estava associada a um ataque massivo chamado Meow a partir do nome dos índices deixados no banco de dados após a exclusão.
"Depois que os dados expostos foram protegidos, eles reapareceram pela segunda vez em 20 de julho em um endereço IP diferente: todos os registros foram destruídos por outro ataque do robô 'Miau'", tuitou Diachenko no início desta semana. .
Victor Gevers, presidente da fundação sem fins lucrativos GDI, também testemunhou o novo ataque. Ele afirma que o ator também está atacando os bancos de dados expostos do MongoDB. O investigador observou na quinta-feira que quem está por trás do ataque parece ter como alvo qualquer banco de dados que não seja seguro e acessível na Internet.
Uma pesquisa através do serviço Shodan mostrou que várias centenas de outros servidores também se tornaram vítimas da remoção. Agora, o número de bancos de dados remotos está se aproximando de 4000, dos quais mMais de 97% deles são bancos de dados Elasticsearch e MongoDB.
De acordo com o LeakIX, um projeto que indexa serviços abertos, o Apache ZooKeeper também foi o alvo. Outro ataque menos malicioso também marcou 616 arquivos ElasticSearch, MongoDB e Cassandra com a string "university_cybersec_experiment".
Os pesquisadores sugeriram que, nesses ataques, os invasores parecem demonstrar aos mantenedores do banco de dados que os arquivos são vulneráveis à visualização ou exclusão.