Meow เป็นการโจมตีที่ได้รับโมเมนตัมอย่างต่อเนื่อง และเป็นเวลาหลายวันแล้วได้รับการเผยแพร่ข่าวต่างๆ ซึ่งใน การโจมตีที่ไม่รู้จักต่างๆจะทำลายข้อมูลในสถานที่ที่ไม่มีการป้องกัน การเข้าถึงแบบสาธารณะของ Elasticsearch และ MongoDB
นอกเหนือจากนั้น นอกจากนี้ยังมีการบันทึกกรณีการทำความสะอาดแยกต่างหาก (ประมาณ 3% ของเหยื่อทั้งหมด) สำหรับฐานข้อมูลที่ไม่มีการป้องกันซึ่งอ้างอิงจาก Apache Cassandra, CouchDB, Redis, Hadoop และ Apache ZooKeeper
เกี่ยวกับ Meow
การโจมตีจะดำเนินการผ่านบอทที่แสดงรายการพอร์ตเครือข่าย DBMS โดยทั่วไป การศึกษาการโจมตีเซิร์ฟเวอร์ Honeypot ปลอมได้แสดงให้เห็นว่า การเชื่อมต่อบอททำผ่าน ProtonVPN
สาเหตุของปัญหาคือการเปิดให้สาธารณะเข้าถึงฐานข้อมูล ไม่มีการตั้งค่าการรับรองความถูกต้องที่เหมาะสม
ด้วยความผิดพลาดหรือความประมาทตัวจัดการการร้องขอจะไม่แนบตัวเองกับที่อยู่ภายใน 127.0.0.1 (localhost) แต่กับอินเทอร์เฟซเครือข่ายทั้งหมดรวมถึงอินเทอร์เฟซภายนอกด้วย ใน MongoDB พฤติกรรมนี้อำนวยความสะดวกโดยการกำหนดค่าตัวอย่าง ซึ่งมีให้โดยค่าเริ่มต้นและใน Elasticsearch ก่อนเวอร์ชัน 6.8 เวอร์ชันฟรีไม่รองรับการควบคุมการเข้าถึง
ประวัติความเป็นมาของผู้ให้บริการ VPN « UFO »เป็นสิ่งที่บ่งบอกได้ซึ่งเปิดเผยฐานข้อมูล Elasticsearch 894GB ที่เปิดเผยต่อสาธารณะ
ผู้ให้บริการวางตำแหน่งตัวเองว่ากังวลเกี่ยวกับความเป็นส่วนตัวของผู้ใช้ และไม่เก็บบันทึก ตรงกันข้ามกับสิ่งที่กล่าวว่ามีการบันทึกในฐานข้อมูล ป๊อปอัปที่รวมข้อมูลเกี่ยวกับที่อยู่ IP ลิงก์จากเซสชันไปยังเวลาแท็กตำแหน่งของผู้ใช้ข้อมูลเกี่ยวกับระบบปฏิบัติการและอุปกรณ์ของผู้ใช้และรายการโดเมนที่จะแทรกโฆษณาลงในการรับส่งข้อมูล HTTP ที่ไม่มีการป้องกัน
นอกจากนี้ ฐานข้อมูลมีรหัสผ่านการเข้าถึงข้อความที่ชัดเจน และคีย์เซสชันซึ่งอนุญาตให้ถอดรหัสเซสชันที่ถูกดักฟังได้
ผู้ให้บริการ VPN « UFO » ได้รับแจ้งปัญหาเมื่อวันที่ 1 กรกฎาคมแต่ข้อความยังไม่ได้รับคำตอบเป็นเวลาสองสัปดาห์ และมีการส่งคำขออื่นไปยังผู้ให้บริการโฮสติ้งในวันที่ 14 กรกฎาคม หลังจากนั้นฐานข้อมูลได้รับการปกป้องในวันที่ 15 กรกฎาคม
บริษัท ตอบสนองต่อการแจ้งเตือนโดยการย้ายฐานข้อมูล ไปยังตำแหน่งอื่น แต่เป็นอีกครั้งที่เขาไม่สามารถรักษาความปลอดภัยได้อย่างถูกต้อง. หลังจากนั้นไม่นานการโจมตีของ Meow ก็ทำให้เธอหายไป
ตั้งแต่วันที่ 20 กรกฎาคมฐานข้อมูลนี้ปรากฏขึ้นอีกครั้งในโดเมนสาธารณะบน IP อื่น ในเวลาไม่กี่ชั่วโมงข้อมูลเกือบทั้งหมดก็ถูกลบออกจากฐานข้อมูล การวิเคราะห์การลบนี้แสดงให้เห็นว่าเกี่ยวข้องกับการโจมตีครั้งใหญ่ที่เรียกว่า Meow จากชื่อของดัชนีที่เหลืออยู่ในฐานข้อมูลหลังจากการลบ
"เมื่อข้อมูลที่เปิดเผยได้รับการรักษาความปลอดภัยข้อมูลดังกล่าวจะปรากฏขึ้นอีกครั้งเป็นครั้งที่สองในวันที่ 20 กรกฎาคมตามที่อยู่ IP อื่น: บันทึกทั้งหมดถูกทำลายจากการโจมตีของหุ่นยนต์ 'Meow' อีกครั้ง” Diachenko ทวีตเมื่อต้นสัปดาห์นี้ .
Victor Gevers ประธานมูลนิธิไม่แสวงหาผลกำไร GDI ยังได้เห็นการโจมตีครั้งใหม่ เขาอ้างว่านักแสดงกำลังโจมตีฐานข้อมูลที่เปิดเผยของ MongoDB ผู้วิจัยตั้งข้อสังเกตเมื่อวันพฤหัสบดีว่าใครก็ตามที่อยู่เบื้องหลังการโจมตีดูเหมือนจะกำหนดเป้าหมายฐานข้อมูลใด ๆ ที่ไม่ปลอดภัยและสามารถเข้าถึงได้บนอินเทอร์เน็ต
การค้นหา ผ่านบริการ Shodan แสดงให้เห็นว่าเซิร์ฟเวอร์อีกหลายร้อยแห่งกลายเป็นเหยื่อของการลบ. ขณะนี้จำนวนฐานข้อมูลระยะไกลใกล้ถึง 4000 ซึ่งมมากกว่า 97% เป็นฐานข้อมูล Elasticsearch และ MongoDB
ตาม LeakIX โครงการที่จัดทำดัชนีบริการแบบเปิด Apache ZooKeeper ก็ถูกกำหนดเป้าหมายเช่นกัน การโจมตีที่เป็นอันตรายน้อยอีกอย่างหนึ่งยังติดแท็กไฟล์ 616 ElasticSearch, MongoDB และ Cassandra ด้วยสตริง "university_cybersec_experiment"
นักวิจัยแนะนำว่าในการโจมตีเหล่านี้ผู้โจมตีดูเหมือนจะแสดงให้ผู้ดูแลฐานข้อมูลเห็นว่าไฟล์มีความเสี่ยงต่อการดูหรือลบ