Meow 攻擊仍在繼續 數千數據庫被刪除

在首次報告Meow攻擊后的一個多星期后，受影響的數據庫數量急劇增加。

上周未知威脅行動者對不安全的數據庫發起了一系列神秘攻擊，他們擦除數據庫中的數據并將其替換為meow一詞。Security Discovery公司網絡威脅情報總監Bob Diachenko觀察到第一次攻擊，該攻擊擦除了香港VPN供應商UFO VPN的數據。上周四，安全研究人員估計已經擦除1000多個數據庫，主要是ElasticSearch和MongoDB。

根據Shodan在ElasticSearch中搜索meow索引的結果，截至周四，共有5,983個被黑數據庫。自2015年以來，非盈利信息安全組織Shadowserver Foundation一直在每天掃描IPv4互聯網以查找開放的MongoDB實例。該基金會周三在Twitter上分享了每日的結果，以應對新的攻擊。

Shadowserver在Twitter上寫道：“目前，我們每天的MongoDB掃描顯示約有8,500個MonowDB實例受到Meow攻擊的影響，在端口27017 / TCP上約有22K實例未啟用身份驗證。”。

該基金會表示，他們不會專門掃描Meow攻擊，但當他們列出數據庫時，他們可以看到攻擊者所做的更改。

Shadowserver發言人在給SearchSecurity的一封電子郵件中說：“更改包括創建隨機數據庫–在隨機字符數據庫名稱的末尾添加-meow。我們目前看到返回帶有-meow的數據庫名稱的MongoDB實例（唯一IP）的數量目前為8000+。這種Meow攻擊也針對其他數據庫系統，包括Elasticsearch。我們還掃描了其中的一些-例如Elasticsearch ，但在這種情況下，我們不會列出數據庫（因為不必確定實例是否打開），因此我們沒有信息說明有多少Elasticsearch實例受到影響。”

除了ElasticSearch和MongoDB數據庫外，其他平臺也受到了該攻擊的影響。安全研究人員報告說，對Hadoop、Redis、Cassandra和Jenkins實例的攻擊次數較少。

Elastic和MongoDB上周告訴SearchSecurity，他們認為所有已刪除數據庫都沒有采取任何安全控制措施，例如密碼保護。MongoDB發言人表示，Meow攻擊僅影響其數據庫軟件的免費Community版本，而不影響MongoDB Enterprise Advanced或MongoDB Atlas產品，并且這些數據庫配置錯誤。

7月27日，ElasticSearch在Twitter上提到該問題，并敦促用戶部署適當的安全設置來防止攻擊。

ElasticSearch在推文中寫道：“最近的Meow攻擊會搜索開放數據庫，并使用單詞meow和一串隨機數覆蓋數據。”

根據密碼管理器供應商NordPass的最新研究，通常，暴露的數據庫在網絡上很普遍。該公司與一名道德黑客合作，該黑客對ElasticSearch和MongoDB庫進行了整整一年的掃描，以尋找在公共互聯網上暴露的不受保護的數據庫。NordPass在研究論文中寫道：“研究人員已經確定總共9,517個不安全的數據庫，其中包含10,463,315,645個條目，涉及電子郵件、密碼和電話號碼等數據，這些數據庫遍布20個不同的國家。”

中國在暴露最嚴重的數據庫中排名第一，而美國則排名第二。NordPass的安全專家Chad Hammond說，Meow攻擊表明正確的數據庫安全至關重要。

Hammond稱：“我們再次重申，適當的保護應該包括靜態數據加密、有線（動態）數據加密、身份管理和漏洞管理。盡管這類攻擊實際上非常頻繁，但通常攻擊者要求贖金。這種Meow攻擊似乎有所不同，因為他們不是在索要錢，而只是在刪除數據。”