Meow 攻击仍在继续 数千数据库被删除

在首次报告Meow攻击后的一个多星期后，受影响的数据库数量急剧增加。

上周未知威胁行动者对不安全的数据库发起了一系列神秘攻击，他们擦除数据库中的数据并将其替换为meow一词。Security Discovery公司网络威胁情报总监Bob Diachenko观察到第一次攻击，该攻击擦除了香港VPN供应商UFO VPN的数据。上周四，安全研究人员估计已经擦除1000多个数据库，主要是ElasticSearch和MongoDB。

根据Shodan在ElasticSearch中搜索meow索引的结果，截至周四，共有5,983个被黑数据库。自2015年以来，非盈利信息安全组织Shadowserver Foundation一直在每天扫描IPv4互联网以查找开放的MongoDB实例。该基金会周三在Twitter上分享了每日的结果，以应对新的攻击。

Shadowserver在Twitter上写道：“目前，我们每天的MongoDB扫描显示约有8,500个MonowDB实例受到Meow攻击的影响，在端口27017 / TCP上约有22K实例未启用身份验证。”。

该基金会表示，他们不会专门扫描Meow攻击，但当他们列出数据库时，他们可以看到攻击者所做的更改。

Shadowserver发言人在给SearchSecurity的一封电子邮件中说：“更改包括创建随机数据库–在随机字符数据库名称的末尾添加-meow。我们目前看到返回带有-meow的数据库名称的MongoDB实例（唯一IP）的数量目前为8000+。这种Meow攻击也针对其他数据库系统，包括Elasticsearch。我们还扫描了其中的一些-例如Elasticsearch ，但在这种情况下，我们不会列出数据库（因为不必确定实例是否打开），因此我们没有信息说明有多少Elasticsearch实例受到影响。”

除了ElasticSearch和MongoDB数据库外，其他平台也受到了该攻击的影响。安全研究人员报告说，对Hadoop、Redis、Cassandra和Jenkins实例的攻击次数较少。

Elastic和MongoDB上周告诉SearchSecurity，他们认为所有已删除数据库都没有采取任何安全控制措施，例如密码保护。MongoDB发言人表示，Meow攻击仅影响其数据库软件的免费Community版本，而不影响MongoDB Enterprise Advanced或MongoDB Atlas产品，并且这些数据库配置错误。

7月27日，ElasticSearch在Twitter上提到该问题，并敦促用户部署适当的安全设置来防止攻击。

ElasticSearch在推文中写道：“最近的Meow攻击会搜索开放数据库，并使用单词meow和一串随机数覆盖数据。”

根据密码管理器供应商NordPass的最新研究，通常，暴露的数据库在网络上很普遍。该公司与一名道德黑客合作，该黑客对ElasticSearch和MongoDB库进行了整整一年的扫描，以寻找在公共互联网上暴露的不受保护的数据库。NordPass在研究论文中写道：“研究人员已经确定总共9,517个不安全的数据库，其中包含10,463,315,645个条目，涉及电子邮件、密码和电话号码等数据，这些数据库遍布20个不同的国家。”

中国在暴露最严重的数据库中排名第一，而美国则排名第二。NordPass的安全专家Chad Hammond说，Meow攻击表明正确的数据库安全至关重要。

Hammond称：“我们再次重申，适当的保护应该包括静态数据加密、有线（动态）数据加密、身份管理和漏洞管理。尽管这类攻击实际上非常频繁，但通常攻击者要求赎金。这种Meow攻击似乎有所不同，因为他们不是在索要钱，而只是在删除数据。”