Attaques de piratage sur Elasticsearch et MongoDB

Les bases de données Elasticsearch et MongoDB non sécurisées ont été ciblées dans des attaques de piratage qui effacent toutes les données. Il n'y a pas de demande de rançon, elles sont appelées Meow Attacks parce qu'elles laissent une signature de miaulement révélatrice sur les fichiers journaux du serveur.

Gros plan d'une capture d'écran d'un fichier journal d'un serveur qui a été attaqué par le Meow

Le chercheur en sécurité Bob Diachenko (@MayhemDayOne) lié à un tweet d'Anthr @ X (@ anthrax0) qui représenterait une capture d'écran d'un fichier journal montrant les détails d'une attaque de miaulement. serveur qui a été publié sur Twitter.

Attaques de piratage sur Elasticsearch et MongoDB

Attaques de piratage de miaouLa dernière victime d'attaque de haut niveau est un service de paiement en ligne africain.Attaques de piratage automatisées

En général, les attaques de piratage sont automatisées. Un script de bot attaque un site en recherchant des vulnérabilités connues telles que des ports non sécurisés et des fichiers vulnérables. Le processus est similaire à un voleur marchant dans une rue vérifiant les poignées de porte pour les véhicules déverrouillés.

Qu'est-ce qui est attaqué

À l'heure actuelle, ce sont les bases de données non sécurisées Elasticsearch et MongoDB qui sont attaquées.Elasticsearch est le plus attaqué, suivi de MongoDB il y avait 1779 attaques Elasticsearch et 701 attaques MongoDB.Il y a 1779 attaques "miaulements ''. d 'Elasticsearch clusters et 701 instances MongoDB https://t Shopify et Udemy.MongoDB déclare sur leur site Web qu'il est utilisé par des sociétés telles qu'eBay, Adobe, SquareSpace, Verizon et le gouvernement britannique.

Attaques censées être cachées par un VPN

Quelqu'un sur Twitter a publié des captures d'écran du fichier journal d'une attaque de base de données Mongo qui montrait que les attaques sur ce serveur passaient par une adresse IP VPN afin de masquer la véritable origine de l'attaque. L'attaque #meow passe par @protonvpn, je ne sais pas comment il existe de nombreuses adresses IP d'origine. À partir des journaux de MongoDB, vous pouvez voir qu'il supprime d'abord les bases de données, puis en créer de nouvelles avec $ randomstring-meow @MayhemDayOne @BleepinComputer #infosec pic.twitter Un VPN est un service qui masque la véritable adresse IP d'un utilisateur à des fins de sécurité. Dans certains pays, ils sont utilisés pour masquer leurs activités Internet des gouvernements indiscrets.ProtonVPN a répondu via Twitter en s'engageant à examiner l'activité et à bloquer les utilisateurs malveillants qui enfreignent leurs termes et conditions.Nous examinons cela et bloquerons toute utilisation de ProtonVPN qui va à l'encontre de nos conditions générales. - ProtonVPN (@ProtonVPN) 27 juillet 2020

Action recommandée

Il peut être prudent pour tous les éditeurs exécutant Elasticsearch ou MongoDB d'envisager de revoir leurs installations pour s'assurer qu'elles sont sécurisées et non exposées à l'Internet public.

Tags: