Meow är en attack som fortsätter att få fart och det är det i flera dagar nus har släppts olika nyheter i vilken olika okända attacker förstör data i oskyddade anläggningar Elasticsearch och MongoDB allmän tillgång.
Förutom det Enstaka fall av rengöring registrerades också (cirka 3% av alla totala offer) för oskyddade databaser baserade på Apache Cassandra, CouchDB, Redis, Hadoop och Apache ZooKeeper.
Om Meow
Attacken utförs via en bot som visar DBMS-nätverksportarna typisk. Studien av attacken på en falsk honningspotserver har visat det bot-anslutningen görs via ProtonVPN.
Orsaken till problemen är öppnandet av allmänhetens tillgång till databasen utan korrekta autentiseringsinställningar.
Av misstag eller slarv kopplar begäranhanteraren sig inte till den interna adressen 127.0.0.1 (localhost) utan till alla nätverksgränssnitt, inklusive den externa. I MongoDB underlättas detta beteende genom exempelkonfigurationen som erbjuds som standard och i Elasticsearch före version 6.8 stödde den gratis versionen inte åtkomstkontroll.
Historiken med VPN-leverantören «UFO» är vägledande, som avslöjade en offentligt tillgänglig 894 GB Elasticsearch-databas.
Leverantören positionerade sig som bekymrad över användarnas integritet och inte föra register. Till skillnad från vad som sägs fanns det register i databasen Pop-ups som innehöll information om IP-adresser, länken mellan sessionen och tiden, användarens platsmärken, information om användarens operativsystem och enhet och listor över domäner för att infoga annonser i oskyddad HTTP-trafik.
Dessutom, databasen innehöll lösenord för klartextåtkomst och sessionstangenter, vilket gjorde det möjligt att dekryptera de avlyssnade sessionerna.
VPN-leverantören «UFO» informerades om frågan den 1 juli, men meddelandet förblev obesvarat i två veckor och en annan begäran skickades till värdleverantören den 14 juli, varefter databasen skyddades den 15 juli.
Företaget svarade på anmälan genom att flytta databasen till en annan plats, men än en gång kunde han inte säkra det ordentligt. Inte långt efter utrotade Meows attack henne.
Sedan den 20 juli dök denna databas upp igen i det offentliga området på en annan IP. På några timmar tog nästan all information bort från databasen. Analys av denna radering visade att den var associerad med en massiv attack som heter Meow från namnet på de index som finns kvar i databasen efter borttagningen.
"När de exponerade uppgifterna var säkrade dök de upp igen för andra gången den 20 juli vid en annan IP-adress: alla poster förstördes av en annan attack från" Meow "-roboten," Diachenko twittrade tidigare i veckan. .
Victor Gevers, ordförande för ideell stiftelse GDI, bevittnade också den nya attacken. Han hävdar att skådespelaren också attackerar MongoDBs exponerade databaser. Utredaren noterade torsdagen att den som står bakom attacken verkar rikta sig mot någon databas som inte är säker och tillgänglig på Internet.
En sökning genom Shodan-tjänsten visade att flera hundra fler servrar också hade blivit offer för borttagningen. Nu närmar sig fjärradatabaserna 4000 varav mMer än 97% av dessa är Elasticsearch- och MongoDB-databaser.
Enligt LeakIX, ett projekt som indexerar öppna tjänster, riktades också Apache ZooKeeper. En annan mindre skadlig attack taggade också 616 ElasticSearch-, MongoDB- och Cassandra-filer med strängen "university_cybersec_experiment".
Forskarna föreslog att angriparna i dessa attacker verkar visa för databasunderhållare att filerna är sårbara för visning eller radering.