Meow: атака, уничтожающая данные в незащищенных БД из Elasticsearch и MongoDB

Мяу - атака, которая продолжает набирать обороты и это уже несколько днейs были выпущены различные новости , в которой различные неизвестные атаки уничтожают данные на незащищенных объектах Открытый доступ к Elasticsearch и MongoDB.

Кроме того также зафиксированы единичные случаи уборки (всего примерно 3% всех жертв) для незащищенных баз данных на основе Apache Cassandra, CouchDB, Redis, Hadoop и Apache ZooKeeper.

О Мяу

Атака осуществляется через бота, который перечисляет сетевые порты СУБД. типичный. Исследование атаки на поддельный сервер-приманку показало, что подключение бота осуществляется через ProtonVPN.

Причина проблем - открытие публичного доступа к базе данных. без правильных настроек аутентификации.

По ошибке или по неосторожности обработчик запросов прикрепляется не к внутреннему адресу 127.0.0.1 (localhost), а ко всем сетевым интерфейсам, включая внешний. В MongoDB такому поведению способствует пример конфигурации. который предлагается по умолчанию, а в Elasticsearch до версии 6.8 бесплатная версия не поддерживала контроль доступа.

Показательна история с провайдером VPN «UFO»., который показал общедоступную базу данных Elasticsearch объемом 894 ГБ.

Провайдер позиционирует себя обеспокоенным конфиденциальностью пользователей. и не вести учет. Вопреки сказанному в базе данных были записи. Всплывающие окна, содержащие информацию об IP-адресах, привязку сеанса ко времени, теги местоположения пользователя, информацию об операционной системе и устройстве пользователя, а также списки доменов для вставки рекламы в незащищенный HTTP-трафик.

Кроме того, база данных содержала пароли доступа в виде открытого текста и ключи сеанса, которые позволяли расшифровывать перехваченные сеансы.

Провайдер VPN «UFO» был проинформирован о выпуске 1 июля, но сообщение оставалось без ответа две недели и еще один запрос был отправлен хостинг-провайдеру 14 июля, после чего база данных была защищена 15 июля.

Компания ответила на уведомление перемещением базы данных в другое место, но снова он не смог его должным образом закрепить. Вскоре после этого атака Мяу уничтожила ее.

Так как 20 июля эта база данных снова появилась в открытом доступе на другом IP. В считанные часы почти все данные были удалены из базы данных. Анализ этого удаления показал, что оно было связано с массовой атакой под названием Meow по имени индексов, оставшихся в базе данных после удаления.

«После того, как раскрытые данные были защищены, они снова появились во второй раз 20 июля на другом IP-адресе: все записи были уничтожены еще одной атакой робота« Мяу »», - написал Дьяченко в Твиттере ранее на этой неделе. .

Виктор Геверс, президент некоммерческого фонда GDI также стал свидетелем новой атаки. Он утверждает, что злоумышленник также атакует открытые базы данных MongoDB. В четверг следователь отметил, что тот, кто стоит за атакой, похоже, нацелен на любую базу данных, которая не является безопасной и доступной в Интернете.

Поиск через сервис Shodan показал, что жертвами удаления стали еще несколько сотен серверов.. Сейчас количество удаленных баз данных приближается к 4000, из которых mБолее 97% из них - это базы данных Elasticsearch и MongoDB.

Согласно LeakIX, проекту, который индексирует открытые сервисы, целью был также Apache ZooKeeper. Другая менее вредоносная атака также пометила 616 файлов ElasticSearch, MongoDB и Cassandra строкой «university_cybersec_experiment». 

Исследователи предположили, что в этих атаках злоумышленники, по-видимому, демонстрируют специалистам по обслуживанию баз данных, что файлы уязвимы для просмотра или удаления.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

bool (истина)