Ang Meow ay isang atake na patuloy na nakakakuha ng momentum at ito ay sa loob ng maraming araw ngayons ay pinakawalan iba't ibang mga balita kung saan iba't ibang mga hindi kilalang pag-atake ang sumisira ng data sa mga hindi protektadong pasilidad Pag-access sa publiko ng Elasticsearch at MongoDB.
Bukod doon ang mga nakahiwalay na kaso ng paglilinis ay naitala rin (humigit-kumulang na 3% ng lahat ng mga biktima sa kabuuan) para sa walang protektadong mga database batay sa Apache Cassandra, CouchDB, Redis, Hadoop, at Apache ZooKeeper.
Tungkol sa Meow
Isinasagawa ang pag-atake sa pamamagitan ng isang bot na naglilista ng mga port ng network ng DBMS tipikal Ang pag-aaral ng pag-atake sa isang pekeng server ng honeypot ay ipinakita iyon ang koneksyon sa bot ay ginawa sa pamamagitan ng ProtonVPN.
Ang sanhi ng mga problema ay ang pagbubukas ng pampublikong pag-access sa database nang walang tamang mga setting ng pagpapatotoo.
Sa pamamagitan ng pagkakamali o kawalang-ingat, ang handler ng kahilingan ay nakakabit mismo hindi sa panloob na address na 127.0.0.1 (localhost), ngunit sa lahat ng mga interface ng network, kabilang ang panlabas. Sa MongoDB, ang pag-uugali na ito ay pinadali ng sample na pagsasaayos na inaalok bilang default, at sa Elasticsearch bago ang bersyon 6.8, hindi sinusuportahan ng libreng bersyon ang kontrol sa pag-access.
Ang kasaysayan sa tagabigay ng VPN na «UFO» ay nagpapahiwatig, na nagsiwalat ng isang magagamit na publiko 894GB Elasticsearch database.
Ang posisyon ng provider ay nakaposisyon mismo tungkol sa privacy ng gumagamit at hindi pag-iingat ng mga tala. Taliwas sa sinabi, may mga tala sa database Ang mga pop-up na may kasamang impormasyon tungkol sa mga IP address, ang link mula sa sesyon hanggang sa oras, mga tag ng lokasyon ng gumagamit, impormasyon tungkol sa operating system at aparato ng gumagamit, at mga listahan ng mga domain upang magsingit ng mga ad sa hindi protektadong trapiko sa HTTP.
Bukod dito, naglalaman ang database ng mga malinaw na text access password at mga susi ng session, na nagpapahintulot sa mga na-intercept na session na ma-decrypt.
Ang VPN provider «UFO» ay nabatid tungkol sa isyu noong Hulyo 1, ngunit ang mensahe ay nanatiling hindi nasagot sa loob ng dalawang linggo at isa pang kahilingan ay ipinadala sa hosting provider noong Hulyo 14, pagkatapos nito ay protektado ang database noong ika-15 ng Hulyo.
Tumugon ang kumpanya sa abiso sa pamamagitan ng paglipat ng database sa ibang lokasyon, ngunit sa sandaling muli ay hindi niya ma-secure ito ng maayos. Hindi nagtagal, pinatay siya ng atake ni Meow.
Mula noong Hulyo 20, muling lumitaw ang database na ito sa pampublikong domain sa ibang IP. Sa loob ng ilang oras, halos lahat ng data ay tinanggal mula sa database. Ang pagtatasa ng pagtanggal na ito ay nagpakita na nauugnay ito sa isang napakalaking atake na tinawag na Meow mula sa pangalan ng mga index na naiwan sa database pagkatapos ng pagtanggal.
"Kapag na-secure ang nakalantad na data, muling lumitaw ito sa pangalawang pagkakataon noong Hulyo 20 sa ibang IP address: lahat ng mga tala ay nawasak ng isa pang pag-atake ng robot na 'Meow'," nag-tweet si Diachenko nitong linggo. .
Si Victor Gevers, pangulo ng nonprofit na pundasyon Ang GDI, nasaksihan din ang bagong pag-atake. Inaako niya na inaatake din ng aktor ang mga nakalantad na database ng MongoDB. Sinabi ng imbestigador noong Huwebes na ang sinumang nasa likod ng pag-atake ay tila na-target ang anumang database na hindi ligtas at naa-access sa Internet.
Isang paghahanap sa pamamagitan ng serbisyo ng Shodan ipinakita na ilang daang iba pang mga server ang naging biktima din ng pagtanggal. Ngayon ang bilang ng mga remote database ay papalapit sa 4000 kung saan mMahigit sa 97% sa mga ito ay mga Elasticsearch at MongoDB database.
Ayon sa LeakIX, isang proyekto na nag-index ng bukas na mga serbisyo, na-target din ang Apache ZooKeeper. Ang isa pang hindi gaanong nakakahamak na pag-atake ay nag-tag din ng 616 ElasticSearch, MongoDB at Cassandra na mga file na may string na "university_cybersec_experiment".
Iminungkahi ng mga mananaliksik na sa mga pag-atake na ito, lilitaw na ipinapakita ng mga umaatake sa mga nagpapanatili ng database na ang mga file ay mahina laban sa pagtingin o pagtanggal.