不安全的Elasticsearch服务器持续八个小时平面
根据Bob Diachenko的实验,将发现没有网络安全保护的网络安全保护,并在大约八小时内被发现并受到恶意演员的重复网络攻击。
DIACHENKO和他的团队专门寻求寻求并跟踪无抵押数据库。在2020年1月,他们在内部更改到数据库网络安全组内意外包含MISCONPD安全规则后,他们在找到客户服务并支持近250万Microsoft用户的记录后击中了头条新闻。
通常情况下,DiaChenko表示,这些数据库被曝光,因为组织中的某人忘记设置密码,因此未经授权的第三方可以通过相对简单的扫描过程找到和访问数据。
在最佳情况下,揭露所公开的数据库的人是安全研究人员,然后将他们的调查结果披露给数据库所有者,他们学习有价值的安全课程。在最糟糕的情况下,网络罪犯发现数据库,业主发现自己在高调安全事件的中心。
“虽然我们尽力快速提醒谁负责我们发现的曝光,但数据经常坐在几小时到几个星期的任何地方撒上曝光和脆弱,同时我们追捕所有者并等待回应,”DiaChenko说。“时间是这些情况的本质。我们想知道如果留下无担保,则会发现如何损坏快速数据。所以我们设置了一个蜜罐。“
DiaChenko和他的团队在Elasticsearch实例上创建了一个模拟数据库,并用假用户数据填充它。然后他们留下了完全暴露,看看会发生什么。
数据库于5月11日设置,并于5月22日被删除。在那个时候,Dianchenko报道,175名未经授权的请求,平均每天18次。第一个5月12日,只有八小时和部署后35分钟。
蜜罐在前五天袭击了36次,但在Shodan.io索引数据库索引后,攻击数量显着增加,这是一个由好家伙和坏人使用的东西所使用的东西,在16可能。在索引的一分钟内,Dianchenko记录了两次攻击,22次22小时。
“在数据库甚至被搜索引擎索引之前发生了超过三十名攻击,展示了多少攻击者依赖于自己的主动扫描工具,而不是等待像Shodan这样的被动物联网搜索引擎,以爬网爬网崩溃易受攻击的数据库。”说Diachenko。
蜜罐引起了各种不同的网络攻击,包括29月(实验结束后的实验后),删除数据库内容并留下勒索瓶需求的恶意机器人对0.06比特币的恶意Bot。此时,数据库只包含了亚马逊Web服务(AWS)计费索引,其余的数据早先清除。
Ransomware Bot的IP地址在荷兰注册,但攻击者从世界各地突然出现,最多89岁起源于美国。重要的卷也来自罗马尼亚和中国,尽管重要的是要注意,可以使用代理作为一个相当平凡的混淆技术来更改IP地址。
观察到的大多数攻击似乎都在尝试确定有关数据库状态和设置的信息,或者进行配置更改,以便让它们删除数据。但攻击者不仅有兴趣窃取数据 - 其他人试图将服务器劫持到挖掘加密电脑,窃取密码,甚至销毁数据。
DiaChenko发现了一个最常见的攻击之一,目标是一个五岁的远程代码执行专门针对Elasticsearch实例 - CVE-2015-1427 - 通过Java获得对环境的访问之后尝试下载并安装隐藏脚本职能。这些攻击来自多个IP地址,但始终对脚本本身具有相同的下载源。
另一个常见攻击击落了服务器/ etc / passwd文件中包含的密码数据。这将其使用与加密器相同的漏洞,与另一个复古漏洞,CVE-2015-5531,在1.6.1之前的Elasticsearch中的目录遍历漏洞,这允许远程攻击者通过与快照API调用相关的未指定向量读取任意文件。
有关COMPITECH的实验的更多信息,请在公司的网站上找到。