Meow je útok, ktorý stále naberá na obrátkach a je to tak už niekoľko dnís boli vydané rôzne novinky , V ktorom rôzne neznáme útoky ničia údaje v nechránených zariadeniach Verejný prístup Elasticsearch a MongoDB.
okrem toho zaznamenané boli aj ojedinelé prípady čistenia (približne 3% všetkých obetí) pre nechránené databázy založené na serveroch Apache Cassandra, CouchDB, Redis, Hadoop a Apache ZooKeeper.
O mne
Útok sa vykonáva prostredníctvom robota, ktorý obsahuje zoznam sieťových portov DBMS typické. Štúdia útoku na falošný server honeypot to ukázala pripojenie robota sa vykonáva prostredníctvom ProtonVPN.
Príčinou problémov je otvorenie verejného prístupu k databáze bez správneho nastavenia autentifikácie.
Omylom alebo neopatrnosťou sa obslužný program žiadosti pripojí nie k internej adrese 127.0.0.1 (localhost), ale ku všetkým sieťovým rozhraniam vrátane externého. V MongoDB je toto správanie uľahčené ukážkovou konfiguráciou ktorá je ponúkaná štandardne a v Elasticsearch pred verziou 6.8 bezplatná verzia nepodporovala riadenie prístupu.
História poskytovateľa VPN «UFO» je orientačná, ktorá odhalila verejne prístupnú 894 GB databázu Elasticsearch.
Poskytovateľ sa vyjadril ako znepokojený ohľadom súkromia používateľov a nevedenie záznamov. Na rozdiel od toho, čo bolo povedané, v databáze boli záznamy Vyskakovacie okná, ktoré obsahovali informácie o adresách IP, prepojení relácie na čas, značkách umiestnenia používateľa, informáciách o operačnom systéme a zariadení používateľa a zoznamy domén na vloženie reklám do nechránenej prevádzky HTTP.
Okrem toho, databáza obsahovala prístupové heslá vo formáte čistého textu a kľúče relácie, ktoré umožňovali dešifrovať zachytené relácie.
Poskytovateľ VPN «UFO» bol o problematike informovaný 1. júla, ale správa zostala nezodpovedaná dva týždne a ďalšia žiadosť bola odoslaná poskytovateľovi hostingu 14. júla, po ktorom bola databáza 15. júla chránená.
Spoločnosť reagovala na oznámenie presunutím databázy na iné miesto, ale opäť to nedokázal poriadne zabezpečiť. Krátko nato ju Meowov útok zničil.
Od 20. júla sa táto databáza znovu objavila vo verejnej doméne na inej IP adrese. V priebehu niekoľkých hodín boli z databázy odstránené takmer všetky údaje. Analýza tohto odstránenia ukázala, že bol spojený s masívnym útokom s názvom Meow z názvu indexov, ktoré zostali v databáze po odstránení.
„Akonáhle boli exponované údaje zabezpečené, 20. júla sa ich druhýkrát znovu zobrazili na inej IP adrese: všetky záznamy boli zničené ďalším útokom robota„ Meow “,“ tweetoval začiatkom týždňa Diachenko. .
Victor Gevers, prezident neziskovej nadácie Spoločnosť GDI bola tiež svedkom nového útoku. Tvrdí, že herec útočí aj na exponované databázy MongoDB. Vyšetrovateľ vo štvrtok poznamenal, že sa zdá, že kto je za útokom, zameriava sa na ľubovoľnú databázu, ktorá nie je bezpečná a prístupná na internete.
Hľadanie cez službu Shodan ukázalo, že obeťou odstránenia sa stalo aj niekoľko stoviek ďalších serverov. Teraz sa počet vzdialených databáz blíži k 4000 z toho mViac ako 97% z nich sú databázy Elasticsearch a MongoDB.
Podľa projektu LeakIX, ktorý indexuje otvorené služby, bol zameraný aj Apache ZooKeeper. Ďalším menej škodlivým útokom boli tiež označené súbory 616 ElasticSearch, MongoDB a Cassandra reťazcom „university_cybersec_experiment“.
Vedci tvrdia, že pri týchto útokoch sa zdá, že útočníci správcom databáz preukazujú, že súbory sú citlivé na prezeranie alebo odstránenie.