L'attaque continue de prendre de l'ampleur"», au cours de laquelle des attaquants inconnus détruisent des données dans des installations accessibles au public et non protégées d'Elasticsearch et MongoDB. Des cas isolés de nettoyage (au total environ 3 % de toutes les victimes) ont également été enregistrés pour des bases de données non protégées basées sur Apache Cassandra, CouchDB, Redis, Hadoop et Apache ZooKeeper. L'attaque est menée via un bot qui recherche les ports réseau typiques du SGBD. Une étude d'une attaque sur un faux serveur honeypot a montré que la connexion d'un bot via ProtonVPN. Si le 22 juillet environ 1000 23 bases de données supprimées ont été enregistrées, alors le XNUMX juillet le nombre de systèmes concernés jusqu'à environ 2500 heures, et hier marque 3800, mais est tombé aujourd'hui à 3750.
La cause des problèmes est l'ouverture de l'accès public à la base de données sans paramètres d'authentification appropriés. Par erreur ou par négligence, le gestionnaire de requêtes n'est pas attaché à l'adresse interne 127.0.0.1 (localhost), mais à toutes les interfaces réseau, y compris l'interface externe. Dans MongoDB, ce comportement est facilité par des exemples de paramètres proposés par défaut, et dans Elasticsearch avant la sortie la version gratuite ne prenait pas du tout en charge les outils de contrôle d'accès.
Indicatif de avec le fournisseur VPN UFO, qui disposait d'une base de données Elasticsearch accessible au public d'une taille de 894 Go. Le fournisseur s’est positionné comme soucieux de la confidentialité des utilisateurs et ne conservant pas de journaux. Contrairement à la déclaration, la base de données contextuelle contenait des journaux comprenant des informations sur les adresses IP, la liaison temporelle des sessions, les balises de localisation des utilisateurs, des informations sur le système d'exploitation et l'appareil de l'utilisateur, ainsi que des listes de domaines pour remplacer la publicité dans le trafic HTTP non protégé. De plus, la base de données contenait des mots de passe d'accès en texte clair et des clés de session permettant de décrypter les sessions interceptées.
Le fournisseur UFO a été informé du problème le 1er juillet, mais le message est resté sans réponse pendant deux semaines et une autre demande a été envoyée à l'hébergeur le 14 juillet, après quoi la base de données a été protégée le 15 juillet. Le 20 juillet, cette base de données est à nouveau apparue dans le domaine public sur une adresse IP différente. En quelques heures, presque toutes les données de la base de données ont été supprimées. L'analyse de cette suppression a montré qu'elle était associée à une attaque massive, baptisée Meow du nom des index laissés dans la base de données après suppression. Rechercher via le service Shodan que plusieurs centaines de serveurs supplémentaires ont également été victimes de suppression. Aujourd’hui, le nombre de bases de données supprimées approche les 4000 XNUMX.
Source: opennet.ru
