Hyökkäys kiihtyy edelleen"", jonka aikana tuntemattomat hyökkääjät tuhoavat tietoja julkisesti saatavilla olevista, suojaamattomista Elasticsearch- ja MongoDB-asennuksista. Yksittäisiä puhdistustapauksia (yhteensä noin 3 % kaikista uhreista) kirjattiin myös suojaamattomiin tietokantoihin, jotka perustuivat Apache Cassandraan, CouchDB:hen, Redisiin, Hadoopiin ja Apache ZooKeeperiin. Hyökkäys suoritetaan botin kautta, joka etsii DBMS:n tyypillisiä verkkoportteja. Tutkimus hyökkäyksestä väärennetyn honeypot-palvelimen osoitti, että yhteys bottiin ProtonVPN:n kautta. Jos 22. heinäkuuta rekisteröitiin noin 1000 poistettua tietokantaa, niin heinäkuun 23. noin 2500 asti ja eilen markkaa 3800, mutta putosi tänään 3750:een.
Ongelmien syynä on julkisen pääsyn avaaminen tietokantaan ilman asianmukaisia todennusasetuksia. Virheestä tai huolimattomuudesta pyynnönkäsittelijä ei ole liitetty sisäiseen osoitteeseen 127.0.0.1 (localhost), vaan kaikkiin verkkoliitäntöihin, mukaan lukien ulkoinen. MongoDB:ssä tätä toimintaa helpottavat oletusarvoiset esimerkkiasetukset ja Elasticsearchissa ennen julkaisua ilmainen versio ei tukenut kulunvalvontatyökaluja ollenkaan.
suuntaa antava VPN-palveluntarjoajan UFO:n kanssa, jolla oli julkisesti saatavilla oleva 894 Gt:n Elasticsearch-tietokanta. Palveluntarjoaja asettui välittämään käyttäjien yksityisyydestä eikä pitämään lokeja. Toisin kuin väitettiin, ponnahdusikkunatietokanta sisälsi lokeja, jotka sisälsivät tietoja IP-osoitteista, istuntojen aikasidonnasta, tunnisteita käyttäjän sijainnista, tietoja käyttäjän käyttöjärjestelmästä ja laitteesta sekä luetteloita verkkotunnuksista, jotka korvasivat mainonnan suojaamattomassa HTTP-liikenteessä. . Lisäksi tietokanta sisälsi selkeän tekstin pääsysalasanat ja istuntoavaimet, jotka mahdollistivat siepattujen istuntojen salauksen purkamisen.
UFO-palveluntarjoajalle ilmoitettiin ongelmasta 1. heinäkuuta, mutta viestiin ei vastattu kaksi viikkoa ja toinen pyyntö lähetettiin isännöintipalveluntarjoajalle 14. heinäkuuta, minkä jälkeen tietokanta suojattiin 15. heinäkuuta. 20. heinäkuuta tämä tietokanta nousi jälleen julkisuuteen toisella IP-osoitteella. Muutamassa tunnissa lähes kaikki tietokannan tiedot poistettiin. Tämän poiston analyysi osoitti, että se liittyi massiiviseen hyökkäykseen, joka nimettiin Meow poistamisen jälkeen tietokantaan jätettyjen indeksien mukaan. Hae Shodan-palvelun kautta että useat sadat muut palvelimet joutuivat myös poistamisen uhreiksi. Nyt poistettujen tietokantojen määrä lähestyy 4000:ta.
Lähde: opennet.ru
