В ходе атаки Meow удалено около 4000 общедоступных БД Elasticsearch и MongoDB

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
27-Июл-2020 15:30

Продолжает набирать обороты атака "Meow", в ходе которой неизвестные злоумышленники уничтожают данные в публично доступных незащищённых установках Elasticsearch и MongoDB. Единичные случаи очистки (в сумме около 3% от всех жертв) также зафиксированы для незащищённых БД на основе Apache Cassandra, CouchDB, Redis, Hadoop и Apache ZooKeeper. Атака производится через бота, перебирающего типовые сетевые порты СУБД. Изучение атаки на подставной honeypot-сервер показало, что подключение бота осуществляется через ProtonVPN. Если 22 июля было зафиксировано около 1000 удалённых БД, то 23 июля число поражённых систем возросло примерно до 2500, а вчера превысило отметку 3800, но снизилось сегодня до 3750.
Причиной возникновения проблем является является открытие публичного доступа к БД без надлежащей настройки аутентификации. По ошибке или беспечности обработчик запросов прикрепляется не к внутреннему адресу 127.0.0.1 (localhost), а ко всем сетевым интерфейсам, включая внешний. В MongoDB подобному поведению способствует пример настроек, предлагаемых по умолчанию, а в Elasticsearch до выпуска 6.8 в бесплатной версии вообще не поддерживалась средства разграничения доступа.
Показательна история с VPN-провайдером UFO, у которого выявили публично доступную базу Elasticsearch, размером 894ГБ. Провайдер позиционировал себя как заботящийся о приватности пользователей и не ведущий логи. Вопреки заявлению, во всплывшей базе присутствовали логи, включающие сведения об IP-адресах, привязке сеансов ко времени, метках о местоположении пользователя, информации об операционной системе и устройстве пользователя, списках доменов для подстановки рекламы в незащищённый HTTP-трафик. Более того, в БД присутствовали пароли доступа в открытом виде и сессионные ключи, позволяющие расшифровать перехваченные сеансы.
Провайдер UFO был информирован о проблеме 1 июля, но две недели сообщение оставалось без ответа и 14 июля был направлен другой запрос хостинг-провайдеру, после чего 15 июля БД была защищена. 20 июля данная БД снова всплыла в публичном доступе на другом IP. Через считанные часы почти все данные в БД были удалены. Разбор данного удаления показал, что оно связано с массово проводимой атакой, получившей имя Meow по названию индексов, оставляемых в БД после удаления. Поиск через сервис Shodan показал, что жертвами удаления также стали ещё несколько сотен серверов. Сейчас число удалённых БД приближается к отметке в 4000.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_elasticsearch, #_mongodb
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 23-Ноя 00:51
Часовой пояс: UTC + 5