В ходе атаки Meow удалено около 4000 общедоступных БД Elasticsearch и MongoDB
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Продолжает набирать обороты атака "Meow", в ходе которой неизвестные злоумышленники уничтожают данные в публично доступных незащищённых установках Elasticsearch и MongoDB. Единичные случаи очистки (в сумме около 3% от всех жертв) также зафиксированы для незащищённых БД на основе Apache Cassandra, CouchDB, Redis, Hadoop и Apache ZooKeeper. Атака производится через бота, перебирающего типовые сетевые порты СУБД. Изучение атаки на подставной honeypot-сервер показало, что подключение бота осуществляется через ProtonVPN. Если 22 июля было зафиксировано около 1000 удалённых БД, то 23 июля число поражённых систем возросло примерно до 2500, а вчера превысило отметку 3800, но снизилось сегодня до 3750.
Причиной возникновения проблем является является открытие публичного доступа к БД без надлежащей настройки аутентификации. По ошибке или беспечности обработчик запросов прикрепляется не к внутреннему адресу 127.0.0.1 (localhost), а ко всем сетевым интерфейсам, включая внешний. В MongoDB подобному поведению способствует пример настроек, предлагаемых по умолчанию, а в Elasticsearch до выпуска 6.8 в бесплатной версии вообще не поддерживалась средства разграничения доступа.
Показательна история с VPN-провайдером UFO, у которого выявили публично доступную базу Elasticsearch, размером 894ГБ. Провайдер позиционировал себя как заботящийся о приватности пользователей и не ведущий логи. Вопреки заявлению, во всплывшей базе присутствовали логи, включающие сведения об IP-адресах, привязке сеансов ко времени, метках о местоположении пользователя, информации об операционной системе и устройстве пользователя, списках доменов для подстановки рекламы в незащищённый HTTP-трафик. Более того, в БД присутствовали пароли доступа в открытом виде и сессионные ключи, позволяющие расшифровать перехваченные сеансы.
Провайдер UFO был информирован о проблеме 1 июля, но две недели сообщение оставалось без ответа и 14 июля был направлен другой запрос хостинг-провайдеру, после чего 15 июля БД была защищена. 20 июля данная БД снова всплыла в публичном доступе на другом IP. Через считанные часы почти все данные в БД были удалены. Разбор данного удаления показал, что оно связано с массово проводимой атакой, получившей имя Meow по названию индексов, оставляемых в БД после удаления. Поиск через сервис Shodan показал, что жертвами удаления также стали ещё несколько сотен серверов. Сейчас число удалённых БД приближается к отметке в 4000.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.bleepingcomputer.c...)
- OpenNews: Amazon опубликовал Open Distro for Elasticsearch 1.0.0
- OpenNews: В Elasticsearch 7.1 предоставлены бесплатные компоненты для обеспечения безопасности
- OpenNews: Amazon представил редакцию Elasticsearch, решающую проблемы с открытостью кода
- OpenNews: Следом за MongoDB начались атаки на CouchDB, Hadoop и ElasticSearch
- OpenNews: Число серверов MongoDB, поражённых шифровальщиком, увеличилось до 28 тысяч
Похожие новости:
- [MongoDB, Open source, Администрирование баз данных] Чем для вас опасна MongoDB SSPL лицензия?
- [JavaScript, MongoDB, Node.JS, Высокая производительность] Node.js + MongoDB: перформанс транзакций
- [DevOps, Kubernetes, Серверное администрирование, Системное администрирование] Логирование в Kubernetes: EFK против PLG (перевод)
- [Информационная безопасность] Все, что вы хотели знать о Sigma-правилах. Часть 1
- [Администрирование баз данных, Законодательство в IT, Информационная безопасность] Хакер взламывает базы данных MongoDB и требует выкуп с угрозами слить персданные и сообщить в органы защиты GDPR
- [DevOps, Open source, Системное администрирование] Собираем логи с Loki
- [*nix, Big Data, Поисковые технологии, Системное администрирование] Долгосрочное хранение данных в Elasticsearch
- [Big Data, IT-инфраструктура, NoSQL, Софт] Elastic под замком: включаем опции безопасности кластера Elasticsearch для доступа изнутри и снаружи
- [Python, MongoDB, Go, GTD, Управление персоналом] Zero Inbox. Гайд по наведению порядка в почте
- [PostgreSQL, Администрирование баз данных] Оптимизация нагрузки на Highload-проекте с помощью ElasticSearch
Теги для поиска: #_elasticsearch, #_mongodb
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:00
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Продолжает набирать обороты атака "Meow", в ходе которой неизвестные злоумышленники уничтожают данные в публично доступных незащищённых установках Elasticsearch и MongoDB. Единичные случаи очистки (в сумме около 3% от всех жертв) также зафиксированы для незащищённых БД на основе Apache Cassandra, CouchDB, Redis, Hadoop и Apache ZooKeeper. Атака производится через бота, перебирающего типовые сетевые порты СУБД. Изучение атаки на подставной honeypot-сервер показало, что подключение бота осуществляется через ProtonVPN. Если 22 июля было зафиксировано около 1000 удалённых БД, то 23 июля число поражённых систем возросло примерно до 2500, а вчера превысило отметку 3800, но снизилось сегодня до 3750. Причиной возникновения проблем является является открытие публичного доступа к БД без надлежащей настройки аутентификации. По ошибке или беспечности обработчик запросов прикрепляется не к внутреннему адресу 127.0.0.1 (localhost), а ко всем сетевым интерфейсам, включая внешний. В MongoDB подобному поведению способствует пример настроек, предлагаемых по умолчанию, а в Elasticsearch до выпуска 6.8 в бесплатной версии вообще не поддерживалась средства разграничения доступа. Показательна история с VPN-провайдером UFO, у которого выявили публично доступную базу Elasticsearch, размером 894ГБ. Провайдер позиционировал себя как заботящийся о приватности пользователей и не ведущий логи. Вопреки заявлению, во всплывшей базе присутствовали логи, включающие сведения об IP-адресах, привязке сеансов ко времени, метках о местоположении пользователя, информации об операционной системе и устройстве пользователя, списках доменов для подстановки рекламы в незащищённый HTTP-трафик. Более того, в БД присутствовали пароли доступа в открытом виде и сессионные ключи, позволяющие расшифровать перехваченные сеансы. Провайдер UFO был информирован о проблеме 1 июля, но две недели сообщение оставалось без ответа и 14 июля был направлен другой запрос хостинг-провайдеру, после чего 15 июля БД была защищена. 20 июля данная БД снова всплыла в публичном доступе на другом IP. Через считанные часы почти все данные в БД были удалены. Разбор данного удаления показал, что оно связано с массово проводимой атакой, получившей имя Meow по названию индексов, оставляемых в БД после удаления. Поиск через сервис Shodan показал, что жертвами удаления также стали ещё несколько сотен серверов. Сейчас число удалённых БД приближается к отметке в 4000. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:00
Часовой пояс: UTC + 5