Niebezpiecznik.pl informuje, że od pewnego czasu niechronionym bazom zagraża atak o nazwie Meow. Choć nazwa po tłumaczeniu jest dość słodka, bo znaczy miau, o działalności hakerów dobrego słowa powiedzieć nie można. Ktoś bowiem w sposób zautomatyzowany wyszukuje niechronione bazy i po prostu je niszczy. Nie pozostawia żadnej notki o okupie, żadnego przesłania czy manifestu. O odpowiednim zabezpieczeniu baz danych powinni pomyśleć mali i średni operatorzy telekomunikacyjni.
Redaktorzy z Niebezpiecznika zwracają uwagę, że atakujący nie wybiera bazy według jakiegoś systemu, tylko po prostu usuwa bazy i na ich miejsce tworzy nowe o nazwie $LosowyCiągZnaków-meow.
Jedna z fal ataku nastąpiła 22 lipca. Wybrano bazy korzystające z rozwiązań Elasticsearch, MongoDB oraz Redis (ale inne platformy też są narażone). Meow zaatakował też dostawcę usług VPN – UFO VPN. Wyciekło wtedy dość sporo danych, łącznie z danymi pozwalającymi identyfikować użytkowników usługi (w tym adresy IP użytkowników z adresami serwerów, z których korzystali).
Jaka motywacja stoi za atakującymi? Może jest to próba popisania się, a może chęć dania nauczki tym, którzy niestarannie zabezpieczają swoje bazy? Dziennikarze Niebezpiecznika przypominają, że administratorzy baz danych powinni się upewnić, czy konfiguracja baz nie powoduje ich przypadkowego upublicznienia. Bazy upublicznione również powinny być możliwie dobrze zabezpieczone i warto mieć kopię zapasową.
Warto dodatkowo:
- przeskanować od zewnątrz adresy IP (te, na których hostowana jest baza) upewniając się, że nie jest ona dostępna bez uwierzytelniania;
- użyć monitoringu informującego o nagłej zmianie nazwy, konfiguracji lub masowym kasowanie rekordów;
- monitorować Shodana, ZoomEye i inne podobne usługi pod katem swojej klasy adresowej, albo
- wyłączyć obsługę swojej klasy przez te wyszukiwarki.
Źródło: Niebezpiecznik.pl