云數(shù)據(jù)庫(kù)配置錯(cuò)誤的危險(xiǎn)

時(shí)間：2020-07-01 12:06:01

關(guān)鍵字：云安全云數(shù)據(jù)庫(kù)

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀][編譯]研究人員在互聯(lián)網(wǎng)上開(kāi)放了一個(gè)配置不正確的數(shù)據(jù)庫(kù)，以了解誰(shuí)會(huì)連接到這個(gè)數(shù)據(jù)庫(kù)，以及他們會(huì)竊取什么。 Comparitech研究人員報(bào)告說(shuō)，配置錯(cuò)誤的數(shù)據(jù)庫(kù)在上線數(shù)小時(shí)后就會(huì)受到攻擊。該團(tuán)隊(duì)試圖

[編譯]研究人員在互聯(lián)網(wǎng)上開(kāi)放了一個(gè)配置不正確的數(shù)據(jù)庫(kù)，以了解誰(shuí)會(huì)連接到這個(gè)數(shù)據(jù)庫(kù)，以及他們會(huì)竊取什么。

Comparitech研究人員報(bào)告說(shuō)，配置錯(cuò)誤的數(shù)據(jù)庫(kù)在上線數(shù)小時(shí)后就會(huì)受到攻擊。該團(tuán)隊(duì)試圖了解更多關(guān)于攻擊者如何針對(duì)安全性較差的云數(shù)據(jù)庫(kù)的信息，這些數(shù)據(jù)庫(kù)繼續(xù)對(duì)世界各地的組織構(gòu)成安全風(fēng)險(xiǎn)。

當(dāng)與云相關(guān)的系統(tǒng)或資產(chǎn)沒(méi)有正確配置時(shí)，會(huì)發(fā)生云配置錯(cuò)誤，這會(huì)授予攻擊者訪問(wèn)公司數(shù)據(jù)的權(quán)限。在過(guò)去的幾年里，一些企業(yè)不小心讓這些數(shù)據(jù)庫(kù)向互聯(lián)網(wǎng)開(kāi)放，有時(shí)會(huì)暴露出數(shù)十億條記錄。不安全和配置錯(cuò)誤的服務(wù)器可能泄漏敏感的用戶數(shù)據(jù)，未經(jīng)授權(quán)的第三方通?？梢栽谖唇?jīng)身份驗(yàn)證或授權(quán)的情況下訪問(wèn)或修改這些數(shù)據(jù)。

網(wǎng)絡(luò)安全專家鮑勃·迪亞琴科（Bob Diachenko）是Comparitech研究小組的負(fù)責(zé)人，他說(shuō)，隨著Elasticsearch攻擊的加劇，他們開(kāi)始追擊它。他們的目標(biāo)是強(qiáng)調(diào)在建立面向公眾的Elasticsearch實(shí)例時(shí)遵循基本保護(hù)措施的重要性。

研究人員在一個(gè)Elasticsearch實(shí)例上建立了一個(gè)蜜罐，或者一個(gè)數(shù)據(jù)庫(kù)的模擬。他們把假用戶數(shù)據(jù)放在蜜罐里，并在互聯(lián)網(wǎng)上公開(kāi)曝光，看誰(shuí)會(huì)連接到蜜罐，以及他們?nèi)绾卧噲D竊取、竊取或銷毀這些信息。Diachenko解釋說(shuō)，這個(gè)實(shí)例只保存了219條記錄，或者說(shuō)是幾兆字節(jié)的數(shù)據(jù)。

研究小組將這些數(shù)據(jù)從2020年5月11日至2020年5月22日公之于眾。在這段時(shí)間內(nèi)，蜜罐受到175個(gè)未經(jīng)授權(quán)的請(qǐng)求，研究人員稱之為“攻擊”。第一次發(fā)生在5月12日，大約在蜜罐部署后8個(gè)半小時(shí)。

襲擊事件在5月22日至6月5日之間有所增加，迪亞琴科說(shuō)，在這段時(shí)間內(nèi)，共發(fā)生435起襲擊事件，平均每天29起。從5月27日開(kāi)始，蜜罐申請(qǐng)數(shù)量“大幅增加”，5月30日達(dá)到68個(gè)申請(qǐng)的高峰。他說(shuō)，就在同一天，一次攻擊請(qǐng)求搜索“支付”、“電子郵件”、“手機(jī)”、“gmail”、“密碼”、“錢包”和“訪問(wèn)令牌”等關(guān)鍵詞。

Comparitech的Paul Bischoff在一篇關(guān)于這項(xiàng)研究的博客文章中解釋說(shuō)，為了找到易受攻擊的數(shù)據(jù)庫(kù)，許多攻擊者使用了像Shodan或BinaryEdge這樣的物聯(lián)網(wǎng)搜索引擎。5月16日，Shodan將這個(gè)蜜罐編入了索引，這意味著它隨后被列在搜索結(jié)果中。比肖夫指出：“在被肖丹編入索引后的一分鐘內(nèi)，發(fā)生了兩起襲擊”。

在搜索引擎索引數(shù)據(jù)庫(kù)之前，發(fā)生了三十多起攻擊，這表明有多少攻擊者使用了自己的掃描工具，而不是等待物聯(lián)網(wǎng)搜索引擎抓取易受攻擊的數(shù)據(jù)庫(kù)。Comparitech指出，其中一些攻擊可能來(lái)自其他研究人員。然而，很難區(qū)分惡意和善意的行為體。

攻擊目標(biāo)和技巧。

大多數(shù)針對(duì)蜜罐的攻擊都需要有關(guān)數(shù)據(jù)庫(kù)狀態(tài)和設(shè)置的信息。其中，147個(gè)使用GET-request方法，24個(gè)使用POST方法，這在源自中國(guó)的活動(dòng)中很常見(jiàn)。另一次攻擊尋求有關(guān)服務(wù)器連接的數(shù)據(jù)。一名攻擊者想要獲取請(qǐng)求的標(biāo)頭而不接收響應(yīng)。研究人員發(fā)現(xiàn)，某些活動(dòng)旨在劫持服務(wù)器以進(jìn)行更多惡意活動(dòng)。

一個(gè)流行的攻擊目標(biāo)是CVE-2015-1427，這是Elasticsearch服務(wù)器上的遠(yuǎn)程代碼執(zhí)行漏洞。目的是訪問(wèn)Elasticsearch環(huán)境并下載bash腳本挖掘器來(lái)挖掘cyptocurrency。另一次攻擊的目標(biāo)是服務(wù)器上存儲(chǔ)的密碼。一位參與者試圖更改服務(wù)器配置以刪除其所有數(shù)據(jù)。

研究人員還收集了攻擊者的位置，盡管他們注意到IP地址可以使用代理來(lái)掩蓋實(shí)際位置。迪亞琴科說(shuō)，請(qǐng)求最多的國(guó)家是法國(guó)，其次是美國(guó)和中國(guó)。

他補(bǔ)充說(shuō)，這個(gè)實(shí)驗(yàn)“非常有代表性”地說(shuō)明了錯(cuò)誤配置和不受保護(hù)的數(shù)據(jù)庫(kù)可能面臨的危險(xiǎn)。正如研究人員所了解到的，攻擊者很快就試圖利用這一優(yōu)勢(shì)。

迪亞琴科說(shuō)：“ Elasticsearch不執(zhí)行認(rèn)證或授權(quán)，而將其留給開(kāi)發(fā)人員進(jìn)行。因此，保護(hù)所有Elasticsearch實(shí)例，特別是那些可以通過(guò)Internet訪問(wèn)的實(shí)例，非常重要?！盵編譯]