Meow është një sulm që vazhdon të marrë vrull dhe kjo është që për disa ditë tanijanë lëshuar lajme të ndryshme në të cilën sulme të ndryshme të panjohura shkatërrojnë të dhënat në objektet e pambrojtura Qasja publike në Elasticsearch dhe MongoDB.
Përveç kësaj janë regjistruar edhe raste të izoluara të pastrimit (përafërsisht 3% e të gjitha viktimave në total) për bazat e të dhënave të pambrojtura bazuar në Apache Cassandra, CouchDB, Redis, Hadoop dhe Apache ZooKeeper.
Rreth Meow
Sulmi kryhet përmes një boti që rendit portet e rrjetit DBMS tipike. Studimi i sulmit ndaj një serveri false të honeypot ka treguar se lidhja bot bëhet përmes ProtonVPN.
Shkaku i problemeve është hapja e qasjes publike në bazën e të dhënave pa cilësimet e duhura të vërtetimit.
Nga gabimi ose pakujdesia, mbajtësi i kërkesës nuk i bashkëngjitet adresës së brendshme 127.0.0.1 (localhost), por të gjitha ndërfaqeve të rrjetit, përfshirë edhe atë të jashtme. Në MongoDB, kjo sjellje lehtësohet nga konfigurimi i shembullit e cila ofrohet si parazgjedhje dhe në Elasticsearch para versionit 6.8, versioni falas nuk mbështeste kontrollin e hyrjes.
Historia me ofruesin e VPN «UFO» është treguese, e cila zbuloi një bazë të dhënash Elasticsearch të disponueshëm publikisht 894 GB.
Ofruesi e pozicionoi veten si të shqetësuar në lidhje me privatësinë e përdoruesit dhe mos mbajtja e shënimeve. Përkundër asaj që u tha, kishte të dhëna në bazën e të dhënave Pop-ups që përfshijnë informacion në lidhje me adresat IP, lidhjen nga seanca në kohë, etiketat e vendndodhjes së përdoruesit, informacion në lidhje me sistemin operativ të përdoruesit dhe pajisjen, dhe listat e domeneve për të futur reklama në trafikun e pambrojtur HTTP.
Përveç kësaj, baza e të dhënave përmbante fjalëkalime të qarta për hyrjen në tekst dhe çelësat e seancave, të cilat lejonin që seksionet e përgjuara të deshifrohen.
Ofruesi i VPN «UFO» u informua për këtë çështje më 1 korrik, por mesazhi mbeti pa përgjigje për dy javë dhe një kërkesë tjetër iu dërgua ofruesit të pritjes në 14 korrik, pas së cilës baza e të dhënave u mbrojt në 15 korrik.
Kompania iu përgjigj njoftimit duke lëvizur bazën e të dhënave në një vend tjetër, por edhe një herë ai nuk mund ta siguronte siç duhet. Jo shumë kohë më vonë, sulmi i Meow e zhduku atë.
Meqenëse më 20 korrik, kjo bazë e të dhënave u rishfaq në domenin publik në një IP tjetër. Për disa orë, pothuajse të gjitha të dhënat u hoqën nga baza e të dhënave. Analiza e këtij fshirja tregoi se shoqërohej me një sulm masiv të quajtur Meow nga emri i indekseve të mbetura në bazën e të dhënave pas fshirjes.
"Pasi të dhënat e ekspozuara u siguruan, ato u shfaqën për herë të dytë në 20 korrik në një adresë tjetër IP: të gjitha rekordet u shkatërruan nga një sulm tjetër nga roboti" Meow "," shkroi Diachenko në fillim të kësaj jave. .
Viktor Gevers, president i fondacionit jofitimprurës GDI, gjithashtu dëshmoi sulmin e ri. Ai pretendon se aktori po sulmon gjithashtu bazat e të dhënave të ekspozuara të MongoDB. Hetuesi vuri në dukje të enjten se kushdo që qëndron prapa sulmit duket se synon çdo bazë të dhënash që nuk është e sigurt dhe e arritshme në internet.
Një kërkim përmes shërbimit Shodan tregoi se disa qindra serverë të tjerë ishin bërë viktima të heqjes. Tani numri i bazave të të dhënave të largëta po i afrohet 4000 prej të cilave mMë shumë se 97% e këtyre janë baza të të dhënave Elasticsearch dhe MongoDB.
Sipas LeakIX, një projekt që indekson shërbimet e hapura, Apache ZooKeeper ishte gjithashtu në shënjestër. Një sulm tjetër më pak dashakeq gjithashtu etiketoi 616 skedarë ElasticSearch, MongoDB dhe Cassandra me vargun "University_cybersec_experiment".
Studiuesit sugjeruan që në këto sulme, sulmuesit duket se u demonstrojnë mirëmbajtësve të bazës së të dhënave se skedarët janë të prekshëm nga shikimi ose fshirja.