[TechWeb编译]研究人员在互联网上开放了一个配置不正确的数据库,以了解谁会连接到这个数据库,以及他们会窃取什么。
Comparitech研究人员报告说,配置错误的数据库在上线数小时后就会受到攻击。该团队试图了解更多关于攻击者如何针对安全性较差的云数据库的信息,这些数据库继续对世界各地的组织构成安全风险。
当与云相关的系统或资产没有正确配置时,会发生云配置错误,这会授予攻击者访问公司数据的权限。在过去的几年里,一些企业不小心让这些数据库向互联网开放,有时会暴露出数十亿条记录。不安全和配置错误的服务器可能泄漏敏感的用户数据,未经授权的第三方通常可以在未经身份验证或授权的情况下访问或修改这些数据。
网络安全专家鲍勃·迪亚琴科(Bob Diachenko)是Comparitech研究小组的负责人,他说,随着Elasticsearch攻击的加剧,他们开始追击它。他们的目标是强调在建立面向公众的Elasticsearch实例时遵循基本保护措施的重要性。
研究人员在一个Elasticsearch实例上建立了一个蜜罐,或者一个数据库的模拟。他们把假用户数据放在蜜罐里,并在互联网上公开曝光,看谁会连接到蜜罐,以及他们如何试图窃取、窃取或销毁这些信息。Diachenko解释说,这个实例只保存了219条记录,或者说是几兆字节的数据。
研究小组将这些数据从2020年5月11日至2020年5月22日公之于众。在这段时间内,蜜罐受到175个未经授权的请求,研究人员称之为“攻击”。第一次发生在5月12日,大约在蜜罐部署后8个半小时。
袭击事件在5月22日至6月5日之间有所增加,迪亚琴科说,在这段时间内,共发生435起袭击事件,平均每天29起。从5月27日开始,蜜罐申请数量“大幅增加”,5月30日达到68个申请的高峰。他说,就在同一天,一次攻击请求搜索“支付”、“电子邮件”、“手机”、“gmail”、“密码”、“钱包”和“访问令牌”等关键词。
Comparitech的Paul Bischoff在一篇关于这项研究的博客文章中解释说,为了找到易受攻击的数据库,许多攻击者使用了像Shodan或BinaryEdge这样的物联网搜索引擎。5月16日,Shodan将这个蜜罐编入了索引,这意味着它随后被列在搜索结果中。比肖夫指出:“在被肖丹编入索引后的一分钟内,发生了两起袭击”。
在搜索引擎索引数据库之前,发生了三十多起攻击,这表明有多少攻击者使用了自己的扫描工具,而不是等待物联网搜索引擎抓取易受攻击的数据库。Comparitech指出,其中一些攻击可能来自其他研究人员。然而,很难区分恶意和善意的行为体。
攻击目标和技巧。
大多数针对蜜罐的攻击都需要有关数据库状态和设置的信息。其中,147个使用GET-request方法,24个使用POST方法,这在源自中国的活动中很常见。另一次攻击寻求有关服务器连接的数据。一名攻击者想要获取请求的标头而不接收响应。研究人员发现,某些活动旨在劫持服务器以进行更多恶意活动。
一个流行的攻击目标是CVE-2015-1427,这是Elasticsearch服务器上的远程代码执行漏洞。目的是访问Elasticsearch环境并下载bash脚本挖掘器来挖掘cyptocurrency。另一次攻击的目标是服务器上存储的密码。一位参与者试图更改服务器配置以删除其所有数据。
研究人员还收集了攻击者的位置,尽管他们注意到IP地址可以使用代理来掩盖实际位置。迪亚琴科说,请求最多的国家是法国,其次是美国和中国。
他补充说,这个实验“非常有代表性”地说明了错误配置和不受保护的数据库可能面临的危险。正如研究人员所了解到的,攻击者很快就试图利用这一优势。
迪亚琴科说:“ Elasticsearch不执行认证或授权,而将其留给开发人员进行。因此,保护所有Elasticsearch实例,特别是那些可以通过Internet访问的实例,非常重要。”[TechWeb编译]
免责声明:以上内容转载自TMT观察网,所发内容不代表本平台立场。