Suicide
27.07.2020, 20:16
Продолжает набирать обороты атака "Meow (https://twitter.com/MayhemDayOne/status/1285303164116389890)", в ходе которой неизвестные злоумышленники уничтожают данные в публично доступных незащищённых установках Elasticsearch и MongoDB. Единичные случаи очистки (в сумме около 3% от всех жертв) также зафиксированы для незащищённых БД на основе Apache Cassandra, CouchDB, Redis, Hadoop и Apache ZooKeeper. Атака производится через бота, перебирающего типовые сетевые порты СУБД. Изучение атаки на подставной honeypot-сервер показало, что подключение бота осуществляется (https://twitter.com/MayhemDayOne/status/1286577695946608640) через ProtonVPN. Если 22 июля было зафиксировано около 1000 удалённых БД, то 23 июля число поражённых систем возросло (https://twitter.com/MayhemDayOne/status/1286577695946608640) примерно до 2500, а вчера превысило (https://www.shodan.io/search?query=meow+indices) отметку 3800, но снизилось сегодня до 3750.
Причиной возникновения проблем является является открытие публичного доступа к БД без надлежащей настройки аутентификации. По ошибке или беспечности обработчик запросов прикрепляется не к внутреннему адресу 127.0.0.1 (localhost), а ко всем сетевым интерфейсам, включая внешний. В MongoDB подобному поведению способствует пример настроек, предлагаемых по умолчанию, а в Elasticsearch до выпуска 6.8 (https://www.opennet.ru/opennews/art.shtml?num=50750) в бесплатной версии вообще не поддерживалась средства разграничения доступа.
Показательна история (https://www.comparitech.com/blog/vpn-privacy/ufo-vpn-data-exposure/) с VPN-провайдером UFO, у которого выявили публично доступную базу Elasticsearch, размером 894ГБ. Провайдер позиционировал себя как заботящийся о приватности пользователей и не ведущий логи. Вопреки заявлению, во всплывшей базе присутствовали логи, включающие сведения об IP-адресах, привязке сеансов ко времени, метках о местоположении пользователя, информации об операционной системе и устройстве пользователя, списках доменов для подстановки рекламы в незащищённый HTTP-трафик. Более того, в БД присутствовали пароли доступа в открытом виде и сессионные ключи, позволяющие расшифровать перехваченные сеансы.
Провайдер UFO был информирован о проблеме 1 июля, но две недели сообщение оставалось без ответа и 14 июля был направлен другой запрос хостинг-провайдеру, после чего 15 июля БД была защищена. 20 июля данная БД снова всплыла в публичном доступе на другом IP. Через считанные часы почти все данные в БД были удалены. Разбор данного удаления показал, что оно связано с массово проводимой атакой, получившей имя Meow по названию индексов, оставляемых в БД после удаления. Поиск через сервис Shodan показал (https://www.shodan.io/search?query=meow+indices), что жертвами удаления также стали ещё несколько сотен серверов. Сейчас число удалённых БД приближается к отметке в 4000.
27.07.2020
https://www.opennet.ru/opennews/art.shtml?num=53438
Причиной возникновения проблем является является открытие публичного доступа к БД без надлежащей настройки аутентификации. По ошибке или беспечности обработчик запросов прикрепляется не к внутреннему адресу 127.0.0.1 (localhost), а ко всем сетевым интерфейсам, включая внешний. В MongoDB подобному поведению способствует пример настроек, предлагаемых по умолчанию, а в Elasticsearch до выпуска 6.8 (https://www.opennet.ru/opennews/art.shtml?num=50750) в бесплатной версии вообще не поддерживалась средства разграничения доступа.
Показательна история (https://www.comparitech.com/blog/vpn-privacy/ufo-vpn-data-exposure/) с VPN-провайдером UFO, у которого выявили публично доступную базу Elasticsearch, размером 894ГБ. Провайдер позиционировал себя как заботящийся о приватности пользователей и не ведущий логи. Вопреки заявлению, во всплывшей базе присутствовали логи, включающие сведения об IP-адресах, привязке сеансов ко времени, метках о местоположении пользователя, информации об операционной системе и устройстве пользователя, списках доменов для подстановки рекламы в незащищённый HTTP-трафик. Более того, в БД присутствовали пароли доступа в открытом виде и сессионные ключи, позволяющие расшифровать перехваченные сеансы.
Провайдер UFO был информирован о проблеме 1 июля, но две недели сообщение оставалось без ответа и 14 июля был направлен другой запрос хостинг-провайдеру, после чего 15 июля БД была защищена. 20 июля данная БД снова всплыла в публичном доступе на другом IP. Через считанные часы почти все данные в БД были удалены. Разбор данного удаления показал, что оно связано с массово проводимой атакой, получившей имя Meow по названию индексов, оставляемых в БД после удаления. Поиск через сервис Shodan показал (https://www.shodan.io/search?query=meow+indices), что жертвами удаления также стали ещё несколько сотен серверов. Сейчас число удалённых БД приближается к отметке в 4000.
27.07.2020
https://www.opennet.ru/opennews/art.shtml?num=53438