不安全的Elasticsearch服务器持续八个小时平面
英国政府确保了公共部门的Microsoft Azure折扣
Armar-6显示了助手机器人如何在Ocado仓库中使用
荷兰景观吸引了金融科技探索
EC呼吁英国以确保英国 - 爱尔兰边境海关IT系统已准备就绪
执行必须有效地提倡技术举措
渣打银行探索量子计算的最新银行
在暗网上出售超过150亿资金
缺乏熟练的人丢回的数字转型
建立2020:微软旨在为人工智能建立信任
超过90%的英国的固定行符合家庭工作的挑战
关于未来的数据中心能源和冷却要求提出的问题
NGD在由VANTAGE数据中心获得的威尔士的巨型扑克校园
英国政府千兆宽带计划接近半百万个新房基准
云的OneFS是云文件存储中的重量级参与者
开发了最常见于网络风险的APAC状态
大多数金融公司都是多罩,但许多人对公共云网络攻击毫无准备
Cellwize旨在使用钟表的5G网络效率高音
DSTL推出了关于城市未来的报告
最高法院表示,Morrisons对2014年数据违约不承担责任
SAS抓住世界蜜蜂日促进分析
MI6试图干扰情报法庭后道歉
保险公司使用人工智能在制定索赔时评估汽车损坏
莫里森上诉成功对企业的冷舒利
NCSC表示,网络改善但包容需要工作的多样性
ATOS签署500万英镑的超级计算,支持牛津大学 - LED AI研究推动
爱立信获取MC-PTT提供者基金会
三项对AMDOC的计数支持企业业务扩展
朝鲜背后的Magecart攻击袭击
2012年预算宣布数字经济的跨监管机构工作组
黑暗数据是有助于碳排放量
CTO采访:Transfergo的Edgardo Savoy讨论了技能和产品创新
新加坡公司与RPA推广的斗争
在IT操作中寻找云服务的沟渠寻呼机
警告假思科套件的安全漏洞
CIO采访:David Allison,全球头,第一个量子矿物
5G推动连接车辆进入顶部齿轮
GDS冠军在公共部门指导下云采用的交叉功能方法
俄罗斯的花哨的熊用Drovorub Malware定位Linux环境
偷偷摸摸的特洛伊木马在安卓手机上发现了潜伏
Blackbaud Breacel受害者名单上面120
约克夏水队与BT打开NB-IOT的水龙头
未咬合的Zyxel存储设备加上IOT僵尸网络
Telekom Slovenije推出5克
AWS陷入了狭隘的国防部计划重新评估JEDI云合同的范围
运输部寻求对自动车辆技术的行业观点
新加坡的JTC TAPS Punggol Digital District的GIS平台
Gigaclear迎接120名农村宽带扩张工程师
诺基亚,kddi试验完全虚拟化5g云ran
Green Flag Waves告别与云母改装的甲骨文遗留
您的位置:首页 >产品 > 商业评论 >

不安全的Elasticsearch服务器持续八个小时平面

2021-09-13 12:44:03 [来源]:

根据Bob Diachenko的实验,将发现没有网络安全保护的网络安全保护,并在大约八小时内被发现并受到恶意演员的重复网络攻击。

DIACHENKO和他的团队专门寻求寻求并跟踪无抵押数据库。在2020年1月,他们在内部更改到数据库网络安全组内意外包含MISCONPD安全规则后,他们在找到客户服务并支持近250万Microsoft用户的记录后击中了头条新闻。

通常情况下,DiaChenko表示,这些数据库被曝光,因为组织中的某人忘记设置密码,因此未经授权的第三方可以通过相对简单的扫描过程找到和访问数据。

在最佳情况下,揭露所公开的数据库的人是安全研究人员,然后将他们的调查结果披露给数据库所有者,他们学习有价值的安全课程。在最糟糕的情况下,网络罪犯发现数据库,业主发现自己在高调安全事件的中心。

“虽然我们尽力快速提醒谁负责我们发现的曝光,但数据经常坐在几小时到几个星期的任何地方撒上曝光和脆弱,同时我们追捕所有者并等待回应,”DiaChenko说。“时间是这些情况的本质。我们想知道如果留下无担保,则会发现如何损坏快速数据。所以我们设置了一个蜜罐。“

DiaChenko和他的团队在Elasticsearch实例上创建了一个模拟数据库,并用假用户数据填充它。然后他们留下了完全暴露,看看会发生什么。

数据库于5月11日设置,并于5月22日被删除。在那个时候,Dianchenko报道,175名未经授权的请求,平均每天18次。第一个5月12日,只有八小时和部署后35分钟。

蜜罐在前五天袭击了36次,但在Shodan.io索引数据库索引后,攻击数量显着增加,这是一个由好家伙和坏人使用的东西所使用的东西,在16可能。在索引的一分钟内,Dianchenko记录了两次攻击,22次22小时。

“在数据库甚至被搜索引擎索引之前发生了超过三十名攻击,展示了多少攻击者依赖于自己的主动扫描工具,而不是等待像Shodan这样的被动物联网搜索引擎,以爬网爬网崩溃易受攻击的数据库。”说Diachenko。

蜜罐引起了各种不同的网络攻击,包括29月(实验结束后的实验后),删除数据库内容并留下勒索瓶需求的恶意机器人对0.06比特币的恶意Bot。此时,数据库只包含了亚马逊Web服务(AWS)计费索引,其余的数据早先清除。

Ransomware Bot的IP地址在荷兰注册,但攻击者从世界各地突然出现,最多89岁起源于美国。重要的卷也来自罗马尼亚和中国,尽管重要的是要注意,可以使用代理作为一个相当平凡的混淆技术来更改IP地址。

观察到的大多数攻击似乎都在尝试确定有关数据库状态和设置的信息,或者进行配置更改,以便让它们删除数据。但攻击者不仅有兴趣窃取数据 - 其他人试图将服务器劫持到挖掘加密电脑,窃取密码,甚至销毁数据。

DiaChenko发现了一个最常见的攻击之一,目标是一个五岁的远程代码执行专门针对Elasticsearch实例 - CVE-2015-1427 - 通过Java获得对环境的访问之后尝试下载并安装隐藏脚本职能。这些攻击来自多个IP地址,但始终对脚本本身具有相同的下载源。

另一个常见攻击击落了服务器/ etc / passwd文件中包含的密码数据。这将其使用与加密器相同的漏洞,与另一个复古漏洞,CVE-2015-5531,在1.6.1之前的Elasticsearch中的目录遍历漏洞,这允许远程攻击者通过与快照API调用相关的未指定向量读取任意文件。

有关COMPITECH的实验的更多信息,请在公司的网站上找到。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。