Мяу - атака, яка продовжує набирати обертів і це вже кілька днівбули опубліковані різні новини в якому різні невідомі атаки знищують дані в незахищених об'єктах Elasticsearch та відкритий доступ MongoDB.
Крім того Також були зафіксовані поодинокі випадки прибирання (приблизно 3% від усіх жертв у цілому) для незахищених баз даних на основі Apache Cassandra, CouchDB, Redis, Hadoop та Apache ZooKeeper.
Про Мяу
Атака здійснюється через бота, який перераховує мережеві порти СУБД типовий. Дослідження атаки на підроблений сервер медових банок показало, що з'єднання бота здійснюється через ProtonVPN.
Причиною проблем є відкриття загального доступу до бази даних без належних налаштувань автентифікації.
По помилці чи необережності обробник запитів приєднується не до внутрішньої адреси 127.0.0.1 (localhost), а до всіх мережевих інтерфейсів, включаючи зовнішній. У MongoDB цій поведінці сприяє конфігурація вибірки що пропонується за замовчуванням, а в Elasticsearch до версії 6.8 безкоштовна версія не підтримувала контроль доступу.
Історія з провайдером VPN «НЛО» є показовою, який розкрив загальнодоступну базу даних Elasticsearch у розмірі 894 ГБ.
Провайдер позиціонував себе як стурбованого конфіденційністю користувачів і не вести облік. На відміну від сказаного, в базі даних були записи Спливаючі вікна, що включають інформацію про IP-адреси, посилання від сеансу до часу, теги місцеположення користувача, інформацію про операційну систему та пристрій користувача та списки доменів для вставки оголошень у незахищений HTTP-трафік.
Крім того, база даних містила паролі доступу до чистого тексту та ключі сеансу, що дозволило розшифрувати перехоплені сеанси.
Постачальник VPN «НЛО» було повідомлено про це питання 1 липня, але повідомлення залишалося без відповіді протягом двох тижнів а ще один запит було надіслано хостинг-провайдеру 14 липня, після чого база даних була захищена 15 липня.
Компанія відповіла на повідомлення переміщенням бази даних в інше місце, але в черговий раз він не зміг закріпити його належним чином. Незабаром після цього напад Меу знищив її.
Оскільки 20 липня ця база даних знову з’явилася у відкритому доступі на іншому ІР. За лічені години майже всі дані були видалені з бази даних. Аналіз цього видалення показав, що воно було пов'язане з масовою атакою під назвою "Мяу" від імені індексів, залишених у базі даних після видалення.
"Після того, як викриті дані були захищені, вони з'явилися вдруге 20 липня за іншою IP-адресою: всі записи були знищені черговою атакою робота" Мяу ", - написала Діаченко на початку цього тижня у своєму Twitter. .
Віктор Геверс, президент некомерційного фонду GDI, також був свідком нової атаки. Він стверджує, що актор також атакує відкриті бази даних MongoDB. Слідчий зауважив у четвер, що той, хто стоїть за нападом, схоже, націлений на будь-яку базу даних, яка не є безпечною та доступною в Інтернеті.
Пошук через службу Shodan показав, що ще кілька сотень серверів також стали жертвами видалення. Зараз кількість віддалених баз даних наближається до 4000, з яких мПонад 97% з них - бази даних Elasticsearch та MongoDB.
За даними LeakIX, проекту, що індексує відкриті послуги, Apache ZooKeeper також був націлений. Ще одна менш зловмисна атака також позначила файли 616 ElasticSearch, MongoDB та Cassandra файлом із рядком "university_cybersec_experiment".
Дослідники припустили, що під час цих атак зловмисники демонструють власникам баз даних, що файли вразливі для перегляду або видалення.