Meow-hyökkäyksen aikana noin 4000 XNUMX julkista Elasticsearch- ja MongoDB-tietokantaa poistettiin

Hyökkäys kiihtyy edelleen"Miau", jonka aikana tuntemattomat hyökkääjät tuhoavat tietoja julkisesti saatavilla olevista, suojaamattomista Elasticsearch- ja MongoDB-asennuksista. Yksittäisiä puhdistustapauksia (yhteensä noin 3 % kaikista uhreista) kirjattiin myös suojaamattomiin tietokantoihin, jotka perustuivat Apache Cassandraan, CouchDB:hen, Redisiin, Hadoopiin ja Apache ZooKeeperiin. Hyökkäys suoritetaan botin kautta, joka etsii DBMS:n tyypillisiä verkkoportteja. Tutkimus hyökkäyksestä väärennetyn honeypot-palvelimen osoitti, että yhteys bottiin suoritettu ProtonVPN:n kautta. Jos 22. heinäkuuta rekisteröitiin noin 1000 poistettua tietokantaa, niin heinäkuun 23. lisääntynyt noin 2500 asti ja eilen ylitetty markkaa 3800, mutta putosi tänään 3750:een.

Ongelmien syynä on julkisen pääsyn avaaminen tietokantaan ilman asianmukaisia ​​todennusasetuksia. Virheestä tai huolimattomuudesta pyynnönkäsittelijä ei ole liitetty sisäiseen osoitteeseen 127.0.0.1 (localhost), vaan kaikkiin verkkoliitäntöihin, mukaan lukien ulkoinen. MongoDB:ssä tätä toimintaa helpottavat oletusarvoiset esimerkkiasetukset ja Elasticsearchissa ennen julkaisua 6.8 ilmainen versio ei tukenut kulunvalvontatyökaluja ollenkaan.

suuntaa antava historia VPN-palveluntarjoajan UFO:n kanssa, jolla oli julkisesti saatavilla oleva 894 Gt:n Elasticsearch-tietokanta. Palveluntarjoaja asettui välittämään käyttäjien yksityisyydestä eikä pitämään lokeja. Toisin kuin väitettiin, ponnahdusikkunatietokanta sisälsi lokeja, jotka sisälsivät tietoja IP-osoitteista, istuntojen aikasidonnasta, tunnisteita käyttäjän sijainnista, tietoja käyttäjän käyttöjärjestelmästä ja laitteesta sekä luetteloita verkkotunnuksista, jotka korvasivat mainonnan suojaamattomassa HTTP-liikenteessä. . Lisäksi tietokanta sisälsi selkeän tekstin pääsysalasanat ja istuntoavaimet, jotka mahdollistivat siepattujen istuntojen salauksen purkamisen.

UFO-palveluntarjoajalle ilmoitettiin ongelmasta 1. heinäkuuta, mutta viestiin ei vastattu kaksi viikkoa ja toinen pyyntö lähetettiin isännöintipalveluntarjoajalle 14. heinäkuuta, minkä jälkeen tietokanta suojattiin 15. heinäkuuta. 20. heinäkuuta tämä tietokanta nousi jälleen julkisuuteen toisella IP-osoitteella. Muutamassa tunnissa lähes kaikki tietokannan tiedot poistettiin. Tämän poiston analyysi osoitti, että se liittyi massiiviseen hyökkäykseen, joka nimettiin Meow poistamisen jälkeen tietokantaan jätettyjen indeksien mukaan. Hae Shodan-palvelun kautta hän osoittiettä useat sadat muut palvelimet joutuivat myös poistamisen uhreiksi. Nyt poistettujen tietokantojen määrä lähestyy 4000:ta.

Lähde: opennet.ru

Osta luotettava isännöinti sivustoille, joissa on DDoS-suojaus, VPS VDS -palvelimet 🔥 Osta luotettavaa verkkosivustojen hostingia DDoS-suojauksella, VPS VDS -palvelimilla | ProHoster