ستساعدك المقالة التالية: هجمات القرصنة على Elasticsearch وMongoDB
تم استهداف قواعد بيانات Elasticsearch وMongoDB غير الآمنة في هجمات القرصنة التي تمحو جميع البيانات. لا توجد مطالب بفدية.
يُطلق على هذه الهجمات اسم Meow Attacks لأنها تترك توقيعًا واضحًا على ملفات سجل الخادم.
لقطة شاشة مقربة لملف سجل الخادم الذي تعرض للهجوم بواسطة Meow
الباحث الأمني بوب دياتشينكو (@MayhemDayOne) مرتبط إلى تغريدة بواسطة أنثر@X (@الجمرة الخبيثة0) قيل أنها تمثل لقطة شاشة لملف سجل يعرض تفاصيل هجوم مواء.
لقطة شاشة مقربة لملف سجل من خادم تعرض للهجوم وتم نشره عليه Twitter.
هجمات القرصنة مواء
تستهدف الهجمات عمليات التثبيت غير الآمنة لـ Elasticsearch وMongoDB.
قد يعني ذلك عمليات التثبيت غير المحمية بواسطة جدار الحماية ومكشوفة للعامة.
وقد يكون ذلك أيضًا عمليات تثبيت لا تحتوي على اتصالات مشفرة باستخدام طبقة المقابس الآمنة (SSL).
تم ملاحظة هجوم القرصنة Elasticsearch من قبل البحث الأمني Bob Chiachenko في 20 يوليو 2020. وأشار إلى عدم وجود طلبات فدية أو تحذيرات.
لقد كان هجومًا مصممًا فقط لحذف جميع البيانات.
لا يحتوي هجوم روبوت Elasticsearch الجديد على أي فدية أو تهديدات، فقط “مواء” مع مجموعة عشوائية من الأرقام. إنه سريع جدًا ويقوم بالبحث عن المجموعات الجديدة وتدميرها بفعالية كبيرة pic.twitter.com/F8Ke3CI64i
– بوب دياتشينكو (@MayhemDayOne) 20 يوليو 2020
أحدث ضحية للهجوم رفيع المستوى هي خدمة دفع أفريقية عبر الإنترنت.
ضحية أخرى لهجوم Meow، منصة الدفع عبر الإنترنت الرائدة في زيمبابوي. pic.twitter.com/JOQ9kDIJW5
– بوب دياتشينكو (@MayhemDayOne) 27 يوليو 2020
هجمات القرصنة الآلية
بشكل عام، تكون هجمات القرصنة آلية. يهاجم برنامج الروبوت النصي موقعًا عن طريق البحث عن نقاط الضعف المعروفة مثل المنافذ غير الآمنة والملفات المعرضة للخطر. تشبه هذه العملية اللص الذي يسير في الشارع ويفحص مقابض الأبواب بحثًا عن مركبات غير مقفلة.
هجوم المواء هو أيضًا هجوم آلي.
ما يتم مهاجمته
في الوقت الحالي، تتعرض قواعد بيانات Elasticsearch وMongoDB غير الآمنة للهجوم.
Elasticsearch هو الأكثر تعرضًا للهجوم، يليه MongoDB.
اعتبارًا من 24 يوليو 2020، كان هناك 1,779 هجومًا على Elasticsearch و701 هجومًا على MongoDB.
هناك 1,779 مجموعة Elasticsearch “meow’d” و701 مثيل MongoDB https://t.co/QOG6oAfksy
– بوب دياتشينكو (@MayhemDayOne) 24 يوليو 2020
Elasticsearch هي خدمة بحث وتحليلات مفتوحة المصدر تستخدمها شركات مثل Uber وShopify وUdemy.
يذكر MongoDB على موقعه على الإنترنت أنه كذلك تستخدمها شركات مثل eBay وAdobe وSquareSpace وVerizon وحكومة المملكة المتحدة.
الهجمات التي يُزعم أنها مخفية بواسطة VPN
شخص ما Twitter نشر لقطات شاشة من ملف السجل لهجوم قاعدة بيانات Mongo والتي أظهرت أن الهجمات على هذا الخادم كانت تمر عبر عنوان VPN IP لإخفاء الأصل الحقيقي للهجوم.
ال #مواء الهجوم يجري من خلال @protonvpn، لست متأكدًا من عدد عناوين IP الأصلية الموجودة. من السجلات الموجودة في MongoDB يمكنك أن ترى أنه يسقط قواعد البيانات أولاً ثم ينشئ قواعد جديدة باستخدام $randomstring-meow @MayhemDayOne @BleepinComputer #أمن المعلومات pic.twitter.com/49dnVOGyq7
– أنثر @ إكس (@ أنثراكس 0) 24 يوليو 2020
ProtonVPN هي شبكة افتراضية خاصة (VPN). VPN هي خدمة تخفي عنوان IP الحقيقي للمستخدمين لأغراض أمنية. وفي بعض البلدان يتم استخدامها لإخفاء أنشطتها على الإنترنت من الحكومات المتطفلة.
استجابت ProtonVPN عبر Twitter من خلال التعهد بمراجعة النشاط وحظر المستخدمين الضارين الذين ينتهكون الشروط والأحكام الخاصة بهم.
نحن ندرس هذا الأمر وسنحظر جميع استخدامات ProtonVPN التي تتعارض مع الشروط والأحكام الخاصة بنا.
— بروتون VPN (@ProtonVPN) 27 يوليو 2020
الإجراء الموصى به
هناك مكونات إضافية للأمان لـ Elasticsearch:
@مارتينيبوستر فقط أكرر مرة أخرى – يوفر Open Distro for Elasticsearch مجموعة أمان كاملة مرخصة من Apache ومجانية الاستخدام – يرجى استخدامها لتأمين الأشخاص في Elasticsearch: https://t.co/M09ndWDQ3G https://t.co/vFR7KdWWB9
– كارل ميدوز (@Carl_F_Meadows) 27 يوليو 2020
قد يكون من الحكمة بالنسبة للناشرين الذين يستخدمون Elasticsearch أو MongoDB أن يفكروا في مراجعة عمليات التثبيت الخاصة بهم للتأكد من أنها آمنة وغير مكشوفة للإنترنت العام.
الاقتباس
أدى هجوم “Meow” الجديد إلى حذف ما يقرب من 4000 قاعدة بيانات غير آمنة
