攻击势头持续增强””,在此期间,未知攻击者会破坏可公开访问、未受保护的 Elasticsearch 和 MongoDB 安装中的数据。 还记录了基于 Apache Cassandra、CouchDB、Redis、Hadoop 和 Apache ZooKeeper 的未受保护数据库的孤立清理案例(总共约占所有受害者的 3%)。 该攻击是通过搜索 DBMS 典型网络端口的机器人来执行的。 对假蜜罐服务器攻击的研究表明,机器人的连接 通过质子VPN。 如果 22 月 1000 日记录了大约 23 个被删除的数据库,那么 XNUMX 月 XNUMX 日受影响的系统数量 直到大约 2500 点,昨天 突破3800点,但今天跌至3750点。
问题的原因是在没有正确的身份验证设置的情况下开放了对数据库的公共访问。 由于错误或疏忽,请求处理程序没有附加到内部地址 127.0.0.1 (localhost),而是附加到所有网络接口,包括外部接口。 在 MongoDB 中,默认提供的示例设置促进了这种行为,在发布之前的 Elasticsearch 中也促进了这种行为 免费版本根本不支持访问控制工具。
指示性的 与 VPN 提供商 UFO 合作,该公司拥有可公开访问的大小为 894GB 的 Elasticsearch 数据库。 该提供商将自己定位为关心用户隐私并且不保留日志。 与声明相反,弹出数据库包含的日志包括有关 IP 地址、会话时间绑定、用户位置标签、有关用户操作系统和设备的信息以及用于在不受保护的 HTTP 流量中替换广告的域列表。 此外,数据库包含明文访问密码和会话密钥,可以解密截获的会话。
UFO 提供商于 1 月 14 日获悉该问题,但该消息在两周内仍未得到答复,并于 15 月 20 日向托管提供商发送了另一个请求,此后数据库于 XNUMX 月 XNUMX 日受到保护。 XNUMX 月 XNUMX 日,该数据库再次在另一个 IP 上出现在公共领域。 几个小时之内,数据库中的数据几乎全部被删除。 对这次删除的分析表明,它与大规模实施的攻击有关,该攻击以删除后数据库中留下的索引名称命名为“Meow”。 通过 Shodan 服务搜索 数百台服务器也成为删除的受害者。 现在被删除的数据库数量已接近4000个。
来源: opennet.ru
