Posté le juillet 25, 2020 à 16:48
DES HACKERS SUPPRIMENT PLUS DE 1000 BASES DE DONNÉES AU COURS D’UNE ATTAQUE MEOW
Un rapport récent a révélé que des hackers ont supprimé plus de 1 000 bases de données non sécurisées, ne laissant derrière eux que le mot « meow ».
Le chercheur Bob Diachenko a initialement découvert l’attaque mardi, lorsqu’il a remarqué que la base de données stockant les données des utilisateurs d’UFO VPN avait été supprimée. Le UFO VPN faisait partie de la liste des VPN dont on a découvert qu’ils avaient exposé des informations sensibles sur les utilisateurs, notamment les caractéristiques des appareils et des systèmes d’exploitation, l’adresse IP des serveurs VPN et des appareils des utilisateurs, les secrets et les jetons de session VPN, ainsi que les mots de passe des comptes en texte clair.
L’UFO fait la une de l’actualité
Outre la violation du droit à la vie privée des utilisateurs, la base de données était gravement contraire à la promesse d’UFO basé à Hong Kong de ne conserver aucun historique. Même après avoir déplacé la base de données, le VPN n’a pas pu la sécuriser correctement avant que l’attaque MEOW ne la supprime entièrement.
Un e-mail demandant une réponse sur ce sujet a été envoyé aux représentants d’UFO, mais ils n’ont pas encore répondu.
Depuis lors, d’autres attaques se sont produites, supprimant plus de 1 000 bases de données. Au moment de la rédaction du présent rapport, la recherche informatique Shodan a révélé que 70 bases de données MongoDB et Elasticsearch avaient été atomisées.
Les raisons ou les motifs de ces attaques ne sont pas encore connus, et il n’y a pas eu de demande de rançon.
L’attaquant n’a demandé aucune rançon
Selon Diachenko, il n’y a pas eu de demande de rançon pour l’attaque du bot ElasticSearch.
La nouvelle attaque du bot ElasticSearch ne contient ni demande de rançon ni menace, elle se contente de « miauler » avec un ensemble de chiffres de rançon, a-t-il déclaré.
Après sa découverte, d’autres chercheurs sur les menaces ont commencé à repérer des résultats à grande échelle pour le « meow » dans un Shodan, un moteur de recherche qui surveille les systèmes et les appareils connectés sur Internet. Actuellement, les résultats du moteur de recherche montrent qu’il y a environ 1 300 bases de données d’ElasticSearch qui ont été touchées.
Un moteur de recherche similaire basé en Chine, ZoomEye, a également donné des résultats similaires. Un chercheur sur les menaces appelé « Heige » de KnowSec, une société chinoise de cybersécurité, a également découvert une attaque similaire. Il a averti qu’il y a un piratage en cours sur ElasticSearch qui semble supprimer l’index original, en créer un nouveau, et ne laisser qu’un suffixe « meow » dans le nouvel index.
Un chercheur de menaces connu sous le nom de « Heige » de la société chinoise de cybersécurité KnowSec a trouvé des résultats similaires en utilisant ZoomEye, un moteur de recherche chinois qui est similaire à Shodan.
« Jusqu’à présent, ZoomEye est capable de rechercher 6 100 services ElasticSearch attaqués », a-t-il déclaré.
Un autre chercheur en sécurité de la Fondation GDI, Victor Gevers, a souligné qu’il avait découvert d’autres journaux affectés par les attaques Meow. Ces journaux comprennent une instance Hadoop, deux serveurs Jenkins et plus de 50 bases de données Redis.
Il a déjà suivi des bases de données compromises ou des attaques avec demande de rançon, et d’après son expérience, il pense qu’il pourrait y avoir d’autres attaques plus tard.
Selon Gevers, il y a de plus en plus de services non authentifiés et cela ne prendra pas beaucoup de temps avant qu’ils ne soient également compromis. Il a également averti que l’effet négatif d’une base de données perdue serait désastreux.
ElasticSearch n’est pas affecté par l’attaque
ElasticSearch a été contacté par SearchSecurity par e-mail au sujet de l’incident. Le vice-président de la gestion des produits chez Elastic a répondu en disant que les bases de données touchées ou supprimées ne contiennent aucune de ses fonctionnalités gratuites ou payantes, ce qui rend l’attaque supportable.
Il a également déclaré qu’il est très peu probable qu’un groupe de bases de données doté d’un dispositif de sécurité ait été touché. Par conséquent, l’impact sur les clients qui paient pour ses services est faible. De plus, comme ses services de sécurité sont par défaut et ne peuvent pas être désactivés, les clients d’Elastic Cloud ne seront pas affectés par l’attaque.
Seule la version gratuite de MongoDB est exposée
MongoDB a également indiqué que les versions premium ou entreprise de la plateforme ne sont pas compromises ou exposées. Il s’agit plutôt de la version gratuite. MongoDB a également mentionné que la configuration de sa base de données est configurée par défaut, ce qui signifie qu’elle est protégée contre toute violation.
Un porte-parole de MongoDB, qui a répondu au message, a déclaré que la plateforme compte plus de 110 millions de téléchargements dans le monde. Lorsque les problèmes ont été portés à la connaissance de MongoDB il y a plusieurs années, la société a fait quelques ajustements pour sécuriser la plate-forme open-source par défaut. La plate-forme a été renforcée pour protéger les utilisateurs contre de nouvelles attaques.
