Miyav, ivme kazanmaya devam eden bir saldırıdır ve şimdi birkaç gündürçeşitli haberler yayınlandı olduğu çeşitli bilinmeyen saldırılar korumasız tesislerdeki verileri yok eder Elasticsearch ve MongoDB genel erişimi.
bunun yanı sıra izole edilmiş temizlik vakaları da kaydedildi Apache Cassandra, CouchDB, Redis, Hadoop ve Apache ZooKeeper tabanlı korumasız veritabanları için (tüm kurbanların yaklaşık% 3'ü).
Miyav hakkında
Saldırı, DBMS ağ bağlantı noktalarını listeleyen bir bot aracılığıyla gerçekleştirilir. tipik. Sahte bir bal küpü sunucusuna yapılan saldırı araştırması şunu göstermiştir: bot bağlantısı ProtonVPN aracılığıyla yapılır.
Sorunların nedeni, veritabanına kamu erişiminin açılmasıdır. uygun kimlik doğrulama ayarları olmadan.
Yanlışlıkla veya dikkatsizlikle, istek işleyici kendisini 127.0.0.1 (localhost) dahili adresine değil, harici olan dahil tüm ağ arayüzlerine bağlar. MongoDB'de bu davranış, örnek yapılandırma ile kolaylaştırılmıştır. varsayılan olarak sunulan ve 6.8 sürümünden önceki Elasticsearch'te, ücretsiz sürüm erişim kontrolünü desteklemiyordu.
VPN sağlayıcısı «UFO» ile geçmiş gösterge niteliğindedir, halka açık 894GB Elasticsearch veritabanını ortaya çıkardı.
Sağlayıcı, kullanıcı gizliliği konusunda endişeli olarak kendini konumlandırdı ve kayıt tutmamak. Söylenenin aksine veri tabanında kayıtlar vardı IP adresleri, oturumdan saate bağlantı, kullanıcının konum etiketleri, kullanıcının işletim sistemi ve cihazı hakkında bilgiler ve korumasız HTTP trafiğine reklam eklemek için alan listeleri hakkında bilgi içeren açılır pencereler.
Buna ek olarak, veritabanı açık metin erişim şifreleri içeriyordu ve durdurulan oturumların şifresinin çözülmesine izin veren oturum anahtarları.
VPN sağlayıcısı «UFO» 1 Temmuz'da konu hakkında bilgilendirildi, ancak mesaj iki hafta boyunca cevapsız kaldı ve 14 Temmuz'da barındırma sağlayıcısına başka bir istek gönderildi, daha sonra veritabanı 15 Temmuz'da koruma altına alındı.
Şirket, veritabanını taşıyarak bildirime cevap verdi başka bir yere, ama bir kez daha güvenliğini sağlayamadı. Kısa bir süre sonra, Meow'un saldırısı onu ortadan kaldırdı.
20 Temmuz'dan bu yana, bu veritabanı farklı bir IP'de kamu malı olarak yeniden ortaya çıktı. Birkaç saat içinde neredeyse tüm veriler veritabanından kaldırıldı. Bu silme işleminin analizi, silme işleminden sonra veritabanında kalan dizinlerin adından Meow adlı büyük bir saldırı ile ilişkili olduğunu gösterdi.
Diachenko bu haftanın başında tweet attı. "Açığa çıkan veriler güvenli hale getirildikten sonra, 20 Temmuz'da ikinci kez farklı bir IP adresinde yeniden ortaya çıktı: tüm kayıtlar 'Meow' robotunun başka bir saldırısıyla yok edildi," dedi. .
Victor Gevers, kar amacı gütmeyen vakıf başkanı GDI, yeni saldırıya da tanık oldu. Oyuncunun MongoDB'nin açığa çıkan veritabanlarına da saldırdığını iddia ediyor. Araştırmacı Perşembe günü, saldırının arkasında kim varsa, İnternette güvenli ve erişilebilir olmayan herhangi bir veritabanını hedef alıyor gibi göründüğünü gözlemledi.
Arama Shodan hizmeti aracılığıyla birkaç yüz sunucunun daha kaldırma işleminin kurbanı olduğunu gösterdi. Şimdi uzak veri tabanlarının sayısı 4000'e yaklaşıyor,Bunların% 97'den fazlası Elasticsearch ve MongoDB veritabanlarıdır.
Açık hizmetleri indeksleyen bir proje olan LeakIX'e göre Apache ZooKeeper da hedef alındı. Daha az kötü niyetli başka bir saldırı da 616 ElasticSearch, MongoDB ve Cassandra dosyalarını "university_cybersec_experiment" dizesiyle etiketledi.
Araştırmacılar, bu saldırılarda, saldırganların veritabanı bakımcılarına dosyaların görüntülenmeye veya silinmeye karşı savunmasız olduğunu gösteriyor gibi göründüğünü öne sürdü.