喵喵是一种持续增加势头的攻击 而且现在已经有好几天了已发布各种新闻 在这 各种未知攻击破坏了不受保护的设施中的数据 Elasticsearch和MongoDB公共访问。
除此之外 还记录了孤立的清洁案例 (约占受害者总数的3%)用于基于Apache Cassandra,CouchDB,Redis,Hadoop和Apache ZooKeeper的不受保护的数据库。
关于喵
攻击是通过列出DBMS网络端口的漫游器进行的 典型的。 对假冒蜜罐服务器的攻击的研究表明, bot连接是通过ProtonVPN建立的。
问题的原因是公开访问数据库 没有正确的身份验证设置。
由于错误或粗心,请求处理程序不将自身附加到内部地址127.0.0.1(localhost),而是附加到所有网络接口,包括外部接口。 在MongoDB中,此行为通过示例配置得到了促进 这是默认提供的,在6.8版之前的Elasticsearch中,免费版不支持访问控制。
VPN提供商«UFO»的历史具有指示性,它公开了一个894GB的Elasticsearch数据库。
提供者将自己定位为关注用户隐私 而不保留记录。 与所说的相反,数据库中有记录 弹出窗口,其中包含有关IP地址的信息,从会话到时间的链接,用户的位置标签,有关用户的操作系统和设备的信息,以及将广告插入不受保护的HTTP流量的域列表。
另外, 数据库包含明文访问密码 和会话密钥,可以对拦截的会话进行解密。
VPN提供商«UFO» 于1月XNUMX日获悉此问题,但该消息两周仍未得到答复 并在14月XNUMX日向托管服务提供商发送了另一个请求 之后,该数据库在15月XNUMX日受到保护。
该公司通过移动数据库来响应通知 到另一个地方 但是他再一次不能正确地保护它。 不久之后,喵的袭击使她丧生。
自20月XNUMX日以来,该数据库在公共领域的其他IP上重新出现。 在几个小时内,几乎所有数据都从数据库中删除了。 对这种删除的分析表明,它与删除后数据库中剩余索引的名称引起的名为Meow的大规模攻击有关。
迪亚琴科在本周早些时候发推文说:“一旦暴露的数据得到保护,它将在20月XNUMX日第二次在另一个IP地址上再次出现:所有记录都被'喵'机器人的另一次攻击所破坏。 。
非营利基金会总裁Victor Gevers GDI,也见证了新的攻击。 他声称该演员还在攻击MongoDB的公开数据库。 研究人员周四观察到,攻击背后的人显然指向任何不安全且无法在Internet上访问的数据库。
搜寻 通过Shodan服务 表明另外几百台服务器也成为了迁移的受害者。 现在,远程数据库的数量已接近4000,其中m其中超过97%是Elasticsearch和MongoDB数据库。
根据一个为开放服务建立索引的项目LeakIX,Apache ZooKeeper也成为目标。 另一种恶意程度较低的攻击也使用字符串“ university_cybersec_experiment”标记了616 ElasticSearch,MongoDB和Cassandra文件。
研究人员建议,在这些攻击中,攻击者似乎向数据库维护者证明了文件易于查看或删除。