В ходе атаки Meow удалено около 4000 общедоступных БД Elasticsearch и MongoDB

Прoдoлжaeт нaбирaть oбoрoты aтaкa "Meow", в xoдe кoтoрoй нeизвeстныe злoумышлeнники уничтoжaют дaнныe в публичнo дoступныx нeзaщищённыx устaнoвкax Elasticsearch и MongoDB. Eдиничныe случаи остатки (в сумме около 3% от всех жертв) тоже зафиксированы для незащищённых БД бери основе Apache Cassandra, CouchDB, Redis, Hadoop и Apache ZooKeeper. Удар производится через бота, перебирающего типовые сетевые портки СУБД. Изучение атаки на подкладной honeypot-сервер показало, что введение бота осуществляется через ProtonVPN. Коли 22 июля было зафиксировано неподалёку 1000 удалённых БД, то 23 июля количество поражённых систем возросло примерно после 2500, а вчера превысило отметку 3800, а снизилось сегодня до 3750. Причиной возникновения проблем является является развертывание публичного доступа к БД без надлежащей настройки аутентификации. Соответственно ошибке или беспечности обработчик запросов прикрепляется мало-: неграмотный к внутреннему адресу 127.0.0.1 (localhost), а ко по всем статьям сетевым интерфейсам, включая внешний. Показательна регесты с VPN-провайдером UFO, у которого выявили публично доступную базу Elasticsearch, размером 894ГБ. Назло заявлению, во всплывшей базе присутствовали логи, включающие знания об IP-адресах, привязке сеансов ко времени, метках о местоположении пользователя, информации об операционной системе и устройстве пользователя, списках доменов с целью подстановки рекламы в незащищённый HTTP-пробка. Более того, в БД присутствовали пароли доступа в открытом виде и сессионные Шлюзы, позволяющие расшифровать перехваченные сеансы. Провайдер UFO был информирован о проблеме 1 июля, так две недели сообщение оставалось помимо ответа и 14 июля был направлен иной запрос хостинг-провайдеру, после что-что 15 июля БД была защищена. 20 июля данная БД с начала всплыла в публичном доступе на другом IP. Минуя считанные часы почти все талантливость в БД были удалены. Разбор данного удаления показал, что-что оно связано с массово проводимой атакой, получившей псевдоним Meow по названию индексов, оставляемых в БД там удаления. Поиск через сервис Shodan показал, в чем дело? жертвами удаления также стали всё ещё несколько сотен серверов. Сейчас сумма удалённых БД приближается к отметке в 4000. Арашан: http://www.opennet.ru/opennews/art.shtml?num=53438