Miau este un atac care continuă să capete impuls și este că de câteva zile acumAu fost lansate diverse știri în care diverse atacuri necunoscute distrug date în facilități neprotejate Acces public Elasticsearch și MongoDB.
Pe lângă asta au fost înregistrate și cazuri izolate de curățenie (aproximativ 3% din totalul victimelor) pentru baze de date neprotejate bazate pe Apache Cassandra, CouchDB, Redis, Hadoop și Apache ZooKeeper.
Despre Meow
Atacul este efectuat printr-un bot care listează porturile de rețea SGBD tipic. Studiul atacului asupra unui server fals de honeypot a arătat acest lucru conexiunea bot se face prin ProtonVPN.
Cauza problemelor este deschiderea accesului public la baza de date fără setări de autentificare adecvate.
Din greșeală sau neglijență, gestionarul de cereri se atașează nu la adresa internă 127.0.0.1 (localhost), ci la toate interfețele de rețea, inclusiv la cea externă. În MongoDB, acest comportament este facilitat de configurarea eșantionului care este oferit în mod implicit, iar în Elasticsearch înainte de versiunea 6.8, versiunea gratuită nu suporta controlul accesului.
Istoricul cu furnizorul VPN «OZN» este orientativ, care a dezvăluit o bază de date Elasticsearch de 894 GB disponibilă publicului.
Furnizorul sa poziționat preocupat de confidențialitatea utilizatorului și fără a ține evidența. Contrar celor spuse, au existat înregistrări în baza de date Ferestre pop-up care includeau informații despre adrese IP, legătura de la sesiune la ora, etichetele de locație ale utilizatorului, informații despre sistemul de operare și dispozitivul utilizatorului și liste de domenii pentru a insera reclame în traficul HTTP neprotejat.
În plus, baza de date conținea parole clare de acces la text și cheile de sesiune, care au permis decriptarea sesiunilor interceptate.
Furnizorul VPN «OZN» a fost informat despre această problemă la 1 iulie, dar mesajul a rămas fără răspuns timp de două săptămâni și o altă cerere a fost trimisă furnizorului de hosting pe 14 iulie, după care baza de date a fost protejată pe 15 iulie.
Compania a răspuns la notificare mutând baza de date într-o altă locație, dar încă o dată nu a putut să-l securizeze corespunzător. Nu după mult timp, atacul lui Meow a șters-o.
Începând cu 20 iulie, această bază de date a reapărut în domeniul public pe un alt IP. În câteva ore, aproape toate datele au fost eliminate din baza de date. Analiza acestei ștergeri a arătat că a fost asociată cu un atac masiv numit Meow din numele indexurilor rămase în baza de date după ștergere.
„Odată ce datele expuse au fost securizate, acestea au reapărut pentru a doua oară pe 20 iulie la o altă adresă IP: toate înregistrările au fost distruse de un alt atac al robotului„ Meow ”, a scris pe Twitter Diachenko la începutul acestei săptămâni. .
Victor Gevers, președintele fundației nonprofit GDI a asistat, de asemenea, la noul atac. El susține că actorul atacă și bazele de date expuse ale MongoDB. Anchetatorul a menționat joi că oricine se află în spatele atacului pare să vizeze orice bază de date care nu este sigură și accesibilă pe internet.
O cautare prin serviciul Shodan a arătat că alte câteva sute de servere au devenit, de asemenea, victime ale eliminării. Acum numărul de baze de date la distanță se apropie de 4000 dintre care mPeste 97% dintre acestea sunt baze de date Elasticsearch și MongoDB.
Potrivit LeakIX, un proiect care indexează serviciile deschise, a fost vizat și Apache ZooKeeper. Un alt atac mai puțin rău intenționat a etichetat, de asemenea, 616 fișiere ElasticSearch, MongoDB și Cassandra cu șirul „university_cybersec_experiment”.
Cercetătorii au sugerat că în aceste atacuri, atacatorii par să demonstreze întreținătorilor bazelor de date că fișierele sunt vulnerabile la vizualizare sau ștergere.