В ходе атаки Meow удалено около 4000 общедоступных БД Elasticsearch и MongoDB
27 июля 2020 года
Продолжает набирать обороты атака "Meow", в ходе которой неизвестные злоумышленники уничтожают данные в публично доступных незащищённых установках Elasticsearch и MongoDB. Единичные случаи очистки (в сумме около 3% от всех жертв) также зафиксированы для незащищённых БД на основе Apache Cassandra, CouchDB, Redis, Hadoop и Apache ZooKeeper. Атака производится через бота, перебирающего типовые сетевые порты СУБД. Изучение атаки на подставной honeypot-сервер показало, что подключение бота осуществляется через ProtonVPN. Если 22 июля было зафиксировано около 1000 удалённых БД, то 23 июля число поражённых систем возросло примерно до 2500, а вчера превысило отметку 3800, но снизилось сегодня до 3750.
Причиной возникновения проблем является является открытие публичного доступа к БД без надлежащей настройки аутентификации. По ошибке или беспечности обработчик запросов прикрепляется не к внутреннему адресу 127.0.0.1 (localhost), а ко всем сетевым интерфейсам, включая внешний. В MongoDB подобному поведению способствует пример настроек, предлагаемых по умолчанию, а в Elasticsearch до выпуска 6.8 в бесплатной версии вообще не поддерживалась средства разграничения доступа.
Показательна история с VPN-провайдером UFO, у которого выявили публично доступную базу Elasticsearch, размером 894ГБ. Провайдер позиционировал себя как заботящийся о приватности пользователей и не ведущий логи. Вопреки заявлению, во всплывшей базе присутствовали логи, включающие сведения об IP-адресах, привязке сеансов ко времени, метках о местоположении пользователя, информации об операционной системе и устройстве пользователя, списках доменов для подстановки рекламы в незащищённый HTTP-трафик. Более того, в БД присутствовали пароли доступа в открытом виде и сессионные ключи, позволяющие расшифровать перехваченные сеансы.
Провайдер UFO был информирован о проблеме 1 июля, но две недели сообщение оставалось без ответа и 14 июля был направлен другой запрос хостинг-провайдеру, после чего 15 июля БД была защищена. 20 июля данная БД снова всплыла в публичном доступе на другом IP. Через считанные часы почти все данные в БД были удалены. Разбор данного удаления показал, что оно связано с массово проводимой атакой, получившей имя Meow по названию индексов, оставляемых в БД после удаления. Поиск через сервис Shodan показал, что жертвами удаления также стали ещё несколько сотен серверов. Сейчас число удалённых БД приближается к отметке в 4000.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
