喵喵是一種持續增強的攻擊 已經好幾天了各種消息已經發布 在這 各種未知攻擊破壞未受保護設施上的數據 可公開訪問的 Elasticsearch 和 MongoDB。
除此之外 也有個別清潔案例 (約佔所有受害者的 3%)基於 Apache Cassandra、CouchDB、Redis、Hadoop 和 Apache ZooKeeper 的未受保護的數據庫。
關於喵
該攻擊是通過枚舉 DBMS 網絡端口的機器人進行的 典型的。 對假蜜罐服務器攻擊的研究表明 機器人連接是通過 ProtonVPN 進行的。
問題的原因是開放數據庫的公共訪問 沒有正確的身份驗證設置。
由於錯誤或疏忽,請求處理程序沒有附加到內部地址 127.0.0.1 (localhost),而是附加到所有網絡接口,包括外部接口。 在 MongoDB 中,示例配置促進了此行為 這是默認提供的,在 Elasticsearch 6.8 之前的版本中,免費版本不支持訪問控制。
VPN 提供商“UFO”的故事具有代表性,其中公開了一個公開可用的 894 GB Elasticsearch 數據庫。
該提供商將自己定位為關注用戶隱私 並且不保留記錄。 與所說相反,數據庫中有記錄 彈出窗口,其中包括有關 IP 地址、會話鏈接到時間、用戶位置標籤、有關用戶操作系統和設備的信息以及將廣告插入到不受保護的 HTTP 流量的域列表。
另外, 數據庫包含明文訪問密碼 和會話密鑰,允許解密截獲的會話。
“UFO”VPN 提供商 於 1 月 XNUMX 日獲悉該問題,但該消息兩週仍未得到回复 14 月 XNUMX 日向託管提供商發送了另一個請求, 此後數據庫於 15 月 XNUMX 日受到保護。
該公司通過移動數據庫來回應通知 到另一個地點, 但再次未能正確固定它。 沒過多久,喵的攻擊就將她消滅了。
自20月XNUMX日起,該數據庫以不同的IP重新出現在公共領域。 幾個小時之內,數據庫中幾乎所有數據都被刪除。 對此次刪除的分析表明,它與名為 Meow 的大規模攻擊有關,該攻擊以刪除後數據庫中留下的索引名稱命名。
Diachenko 本週早些時候在推特上表示:“一旦暴露的數據得到保護,它就會在 20 月 XNUMX 日以不同的 IP 地址再次出現,所有記錄都被另一次‘Meow’機器人攻擊破壞。” 。
Victor Gevers,非營利基金會主席 GDI也見證了新的攻擊。 他聲稱該攻擊者還攻擊暴露的 MongoDB 數據庫。 研究人員周四指出,無論誰是這次攻擊的幕後黑手,顯然都針對任何不安全且無法通過互聯網訪問的數據庫。
一次搜索 通過 Shodan 服務 顯示數百個其他服務器也成為刪除的受害者。 現在遠程數據庫數量接近4000個,其中m其中超過 97% 是 Elasticsearch 和 MongoDB 數據庫。
根據 LeakIX(一個索引開放服務的項目)的說法,Apache ZooKeeper 也成為了攻擊的目標。 另一種惡意程度較低的攻擊還使用字符串“university_cybersec_experiment”標記了 616 個 ElasticSearch、MongoDB 和 Cassandra 文件。
研究人員表示,在這些攻擊中,攻擊者似乎向數據庫維護人員證明文件容易被查看或刪除。