Мяу - атака, которая продолжает набирать обороты и это уже несколько днейs были выпущены различные новости , в которой различные неизвестные атаки уничтожают данные на незащищенных объектах Открытый доступ к Elasticsearch и MongoDB.
Кроме того также зафиксированы единичные случаи уборки (всего примерно 3% всех жертв) для незащищенных баз данных на основе Apache Cassandra, CouchDB, Redis, Hadoop и Apache ZooKeeper.
О Мяу
Атака осуществляется через бота, который перечисляет сетевые порты СУБД. типичный. Исследование атаки на поддельный сервер-приманку показало, что подключение бота осуществляется через ProtonVPN.
Причина проблем - открытие публичного доступа к базе данных. без правильных настроек аутентификации.
По ошибке или по неосторожности обработчик запросов прикрепляется не к внутреннему адресу 127.0.0.1 (localhost), а ко всем сетевым интерфейсам, включая внешний. В MongoDB такому поведению способствует пример конфигурации. который предлагается по умолчанию, а в Elasticsearch до версии 6.8 бесплатная версия не поддерживала контроль доступа.
Показательна история с провайдером VPN «UFO»., который показал общедоступную базу данных Elasticsearch объемом 894 ГБ.
Провайдер позиционирует себя обеспокоенным конфиденциальностью пользователей. и не вести учет. Вопреки сказанному в базе данных были записи. Всплывающие окна, содержащие информацию об IP-адресах, привязку сеанса ко времени, теги местоположения пользователя, информацию об операционной системе и устройстве пользователя, а также списки доменов для вставки рекламы в незащищенный HTTP-трафик.
Кроме того, база данных содержала пароли доступа в виде открытого текста и ключи сеанса, которые позволяли расшифровывать перехваченные сеансы.
Провайдер VPN «UFO» был проинформирован о выпуске 1 июля, но сообщение оставалось без ответа две недели и еще один запрос был отправлен хостинг-провайдеру 14 июля, после чего база данных была защищена 15 июля.
Компания ответила на уведомление перемещением базы данных в другое место, но снова он не смог его должным образом закрепить. Вскоре после этого атака Мяу уничтожила ее.
Так как 20 июля эта база данных снова появилась в открытом доступе на другом IP. В считанные часы почти все данные были удалены из базы данных. Анализ этого удаления показал, что оно было связано с массовой атакой под названием Meow по имени индексов, оставшихся в базе данных после удаления.
«После того, как раскрытые данные были защищены, они снова появились во второй раз 20 июля на другом IP-адресе: все записи были уничтожены еще одной атакой робота« Мяу »», - написал Дьяченко в Твиттере ранее на этой неделе. .
Виктор Геверс, президент некоммерческого фонда GDI также стал свидетелем новой атаки. Он утверждает, что злоумышленник также атакует открытые базы данных MongoDB. В четверг следователь отметил, что тот, кто стоит за атакой, похоже, нацелен на любую базу данных, которая не является безопасной и доступной в Интернете.
Поиск через сервис Shodan показал, что жертвами удаления стали еще несколько сотен серверов.. Сейчас количество удаленных баз данных приближается к 4000, из которых mБолее 97% из них - это базы данных Elasticsearch и MongoDB.
Согласно LeakIX, проекту, который индексирует открытые сервисы, целью был также Apache ZooKeeper. Другая менее вредоносная атака также пометила 616 файлов ElasticSearch, MongoDB и Cassandra строкой «university_cybersec_experiment».
Исследователи предположили, что в этих атаках злоумышленники, по-видимому, демонстрируют специалистам по обслуживанию баз данных, что файлы уязвимы для просмотра или удаления.