新的“喵”攻击删除了近4k个不安全的数据库

2020-07-26 23:52:02

暴露在公共网络上的数百个不安全的数据库是自动攻击的目标,这种攻击会在没有任何解释的情况下破坏数据。

这一活动最近开始于点击Elasticsearch和MongoDB实例,没有留下任何解释,甚至没有留下赎金纸条。然后,攻击扩展到其他数据库类型和在Web上打开的文件系统。

通过在物联网搜索引擎Shodan上快速搜索BleepingComputer,最初发现了数十个受此次攻击影响的数据库。最近,被擦除的数据库数量增加到1800多个。

这些攻击促使研究人员争先恐后地寻找暴露的数据库,并在它们变得喵喵叫之前负责任地报告它们。

猫叫攻击最早的公开例子之一是属于VPN提供商的Elasticsearch数据库,该数据库声称不保留任何日志。

该数据库由研究人员鲍勃·迪亚琴科(Bob Diachenko)发现,最初在7月份受到保护,但五天后再次曝光。

然而,第二次,车主不再收到善意的通知。取而代之的是,他们被“喵喵”了,几乎所有的记录都被抹去了。

迪亚琴科告诉BleepingComputer,目前还没有关于袭击者或他们行动目的的太多细节。他说,这次攻击似乎是“覆盖或完全破坏数据”的自动脚本。

研究人员在本周初首次观察到“喵”的数据库攻击。它们可能是一名义务警员的工作,他试图通过对不安全的数据进行大量破坏,给管理员上一堂安全方面的硬课。

非营利组织GDI基金会的主席维克多·盖弗斯(Victor Gevers)也看到了这种类型的攻击。他说,这位演员还在攻击暴露的MongoDB数据库,尽其所能地攻击。

他也在几天前看到了第一次“喵”攻击,最近的一次发生在7月22日,就在一名GDI志愿者负责任地向主人披露了几个小时后。

这位研究人员周四观察到,无论是谁在幕后发动攻击,显然都是针对任何不安全且可以通过互联网访问的数据库。

他看到这些数据擦除攻击针对运行Cassandra、CouchDB、Redis、Hadoop、Jenkins的系统,以及针对网络连接存储设备。

在撰写本文时,beepingcomputer发现攻击主要影响Elasticsearch数据库(1,395个),其次是MongoDB(383个)和Redis数据库(54个)。这一数字为1,832,但实际数字更高,因为搜索引擎开始索引其他数据库类型。“当我们获得其他数据库类型的结果时,我们将更新数字。”

根据LeakIX,一个索引开放服务的项目,Apache ZooKeeper已经被添加到攻击列表中。

07/25更新:截至7月25日(星期六),喵攻击继续升级,删除了近4000个数据库。

上周六使用Shodan Google进行的一项新搜索显示,超过3800个数据库具有与此次“喵喵”攻击相匹配的条目名称。其中超过97%是Elastic和MongoDB。

虽然目前仍不清楚威胁参与者为什么要擦除数据库,但一位名为Anthr@X的安全研究人员发现,这些攻击是通过ProtonVPN IP地址进行的。

如果这些事件的背后是积极的意图,有时它们不会产生什么好的结果,有价值的数据可能会在这个过程中丢失。

可通过公共互联网访问的不安全MongoDB和Elasticsearch实例的数据泄露呈下降趋势,但仍有一些“非常敏感”的信息暴露。

正如盖弗斯所说,“一些泄密会让坏事曝光,这些坏事需要分享”,擦拭它们不会给任何人带来任何好处。

“及早发现这些泄漏正在成为一场竞赛。这减少了可以花在研究和报告上的时间。“--维克多·盖弗斯(Victor Gevers)。

无论谁是猫咪攻击的幕后黑手,都可能继续以不安全的数据库为目标,咄咄逼人地摧毁它们。管理员应确保只暴露需要公开的内容,并确保资产得到适当保护。

更新[2020年7月25日]:添加了来自IleakIX的总体状态为猫咪攻击的图像。重新计算由于喵叫攻击而删除的数据库数量。