De aanval wint steeds meer aan momentum.", waarbij onbekende aanvallers gegevens vernietigen in openbaar toegankelijke, onbeschermde installaties van Elasticsearch en MongoDB. Geïsoleerde gevallen van opschoning (in totaal ongeveer 3% van alle slachtoffers) werden ook geregistreerd voor onbeschermde databases gebaseerd op Apache Cassandra, CouchDB, Redis, Hadoop en Apache ZooKeeper. De aanval wordt uitgevoerd via een bot die typische netwerkpoorten van het DBMS opsomt. Een onderzoek naar de aanval op een nep-honeypotserver toonde aan dat de botverbinding via ProtonVPN. Als er op 22 juli ongeveer 1000 externe databases werden geregistreerd, dan is het aantal getroffen systemen op 23 juli tot ongeveer 2500, en gisteren van 3800, maar daalde vandaag naar 3750.
De oorzaak van de problemen is het openstellen van openbare toegang tot de database zonder de juiste authenticatie-instellingen. Door een fout of onzorgvuldigheid is de request handler niet gekoppeld aan het interne adres 127.0.0.1 (localhost), maar aan alle netwerkinterfaces, inclusief de externe. In MongoDB wordt dergelijk gedrag mogelijk gemaakt door het voorbeeld van de standaardinstellingen, en in Elasticsearch vóór de release. De gratis versie ondersteunde helemaal geen toegangscontrole.
indicatief met de VPN-provider UFO, die een openbaar toegankelijke Elasticsearch-database van 894 GB bleek te hebben. De provider presenteerde zich alsof hij de privacy van zijn gebruikers belangrijk vond en geen logs bijhield. In tegenstelling tot de bewering bevatte de opgedoken database logs met informatie over IP-adressen, sessietijdbinding, locatietags van gebruikers, informatie over het besturingssysteem en het apparaat van de gebruiker, en lijsten met domeinen voor het vervangen van advertenties in onbeschermd HTTP-verkeer. Bovendien bevatte de database open-text toegangswachtwoorden en sessiesleutels die het mogelijk maakten om onderschepte sessies te decoderen.
De UFO-provider werd op 1 juli op de hoogte gesteld van het probleem, maar het bericht bleef twee weken onbeantwoord. Op 14 juli werd een nieuw verzoek naar de hostingprovider gestuurd, waarna de database op 15 juli werd beveiligd. Op 20 juli werd deze database weer openbaar toegankelijk op een ander IP-adres. Binnen enkele uren waren bijna alle gegevens in de database verwijderd. Analyse van deze verwijdering toonde aan dat het ging om een massale aanval, die Meow werd genoemd, naar de naam van de indexen die na de verwijdering in de database achterbleven. Zoeken via Shodan , dat nog eens honderden servers het slachtoffer werden van de verwijdering. Het aantal verwijderde databases nadert nu de 4000.
Bron: opennet.ru
