Mijav je napad, ki še naprej dobiva zagon in to že nekaj dniso bile objavljene različne novice v katerem različni neznani napadi uničujejo podatke v nezaščitenih objektih Javni dostop Elasticsearch in MongoDB.
Poleg tega Zabeleženi so bili tudi posamezni primeri čiščenja (približno 3% vseh žrtev skupaj) za nezaščitene zbirke podatkov na podlagi Apache Cassandra, CouchDB, Redis, Hadoop in Apache ZooKeeper.
O meni
Napad se izvede prek bota, ki navaja omrežna vrata DBMS tipično. Študija napada na ponarejeni strežnik za vroče žleze je to pokazala botska povezava se izvede prek ProtonVPN.
Vzrok za težave je odprt javni dostop do baze podatkov brez ustreznih nastavitev preverjanja pristnosti.
Z napako ali neprevidnostjo se upravljavec zahtev ne priklopi na notranji naslov 127.0.0.1 (localhost), temveč na vse omrežne vmesnike, vključno z zunanjim. V MongoDB to vedenje olajša konfiguracija vzorca ki je privzeto na voljo, v programu Elasticsearch pred različico 6.8 pa brezplačna različica ni podpirala nadzora dostopa.
Zgodovina ponudnika VPN «UFO» je okvirna, ki je razkril javno dostopno bazo podatkov Elasticsearch z 894 GB.
Ponudnik se je poznal, da ga skrbi zasebnost uporabnikov in ne vodenje evidence. V nasprotju s povedanim so bili v bazi podatkov zapisi Pojavna okna, ki so vsebovala informacije o naslovih IP, povezavo seje do časa, uporabnikove lokacijske oznake, informacije o uporabnikovem operacijskem sistemu in napravi ter sezname domen za vstavljanje oglasov v nezaščiten promet HTTP.
Poleg tega, baza podatkov je vsebovala gesla za dostop do jasnega besedila in ključi sej, kar je omogočilo dešifriranje prestreženih sej.
Ponudnik VPN «NLP» je bil o izdaji obveščen 1. julija, vendar je sporočilo ostalo neodgovorjeno dva tedna in druga zahteva je bila poslana ponudniku gostovanja 14. julija, nakar je bila baza podatkov zaščitena 15. julija.
Podjetje se je na obvestilo odzvalo s selitvijo baze podatkov na drugo lokacijo, a spet ga ni mogel pravilno zavarovati. Kmalu zatem jo je napad Meow izbrisal.
Od 20. julija se je ta baza podatkov znova pojavila v javni domeni na drugem IP-ju. V nekaj urah so bili iz baze odstranjeni skoraj vsi podatki. Analiza tega izbrisa je pokazala, da je bil povezan z velikim napadom, imenovanim Meow, iz imena indeksov, ki so ostali v zbirki podatkov po izbrisu.
"Ko so bili izpostavljeni podatki zavarovani, so se drugič pojavili 20. julija na drugem naslovu IP: vse zapise je uničil nov napad robota" Meow "," je v začetku tega tedna tvitnil Diachenko. .
Victor Gevers, predsednik neprofitne fundacije GDI je bil tudi priča novemu napadu. Trdi, da igralec napada tudi izpostavljene zbirke podatkov MongoDB. Preiskovalec je v četrtek opozoril, da se zdi, da kdor stoji za napadom, cilja na katero koli bazo podatkov, ki ni varna in dostopna v internetu.
Iskanje prek storitve Shodan je pokazala, da je žrtev odstranitve postalo tudi več sto strežnikov. Zdaj se število oddaljenih baz podatkov približuje 4000, od tega mVeč kot 97% teh je podatkovnih baz Elasticsearch in MongoDB.
Po poročanju projekta LeakIX, ki indeksira odprte storitve, je bil tarča tudi Apache ZooKeeper. Drug manj zlonamerni napad je prav tako označil datoteke 616 ElasticSearch, MongoDB in Cassandra z nizom "university_cybersec_experiment".
Raziskovalci so predlagali, da v teh napadih napadalci vzdrževalcem baz podatkov dokažejo, da so datoteke ranljive za ogled ali brisanje.