Getty Images/imageBROKER RF

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Continúan los ataques 'meow': Miles de bases de datos borradas

Más de una semana después, los misteriosos ataques a bases de datos inseguras en ElasticSearch, MongoDB y otros no solo han persistido sino que han crecido, sin ninguna explicación.

Más de una semana después del primer ataque "meow" (miau) reportado, el número de bases de datos afectadas ha aumentado dramáticamente.

Actores de amenazas desconocidos lanzaron la semana pasada una serie de misteriosos ataques contra bases de datos inseguras, borrando datos y reemplazándolos con la palabra "meow" (miau). Bob Diachenko, director de inteligencia de amenazas cibernéticas para Security Discovery, observó el primer ataque, que borró los datos del proveedor de VPN UFO VPN con sede en Hong Kong. El jueves pasado, los investigadores de seguridad estimaron que más de 1.000 bases de datos, predominantemente en ElasticSearch y MongoDB, habían sido borradas.

Según los resultados de búsqueda de Shodan para los índices de meow en ElasticSearch, hay 5.983 bases de datos hackeadas hasta el jueves. La Fundación Shadowserver, una organización sin fines de lucro de seguridad de la información, ha estado escaneando la internet IPv4 diariamente para ver instancias abiertas de MongoDB desde 2015. El miércoles, la fundación compartió los resultados diarios en Twitter en respuesta a los nuevos ataques.

"Nuestros escaneos diarios de MongoDB actualmente muestran alrededor de 8.500 instancias de MongoDB afectadas por el ataque 'Meow' (de alrededor de 22 mil instancias en el puerto 27017/TCP sin autenticación habilitada)", escribió Shadowserver en Twitter.

La fundación dijo que no analiza específicamente los ataques "meow", pero cuando enumeran las bases de datos, pueden ver los cambios realizados por los atacantes.

"Los cambios incluyen la creación de bases de datos aleatorias con un -meow agregado al final del nombre de una base de datos de caracteres aleatorios", dijo un portavoz de Shadowserver en un correo electrónico a nuestro portal hermano SearchSecurity. "El número de instancias de MongoDB (IP únicas) que actualmente vemos que devuelven nombres de bases de datos con -meow agregado es actualmente más de 8.000. El ataque meow también se dirige a otros sistemas de bases de datos, incluido Elasticsearch. También buscamos algunos de ellos, como Elasticsearch , pero en este caso no enlistamos la base de datos (ya que no es necesario determinar si una instancia está abierta o no), por lo que no tenemos información sobre cuántas instancias de Elasticsearch están afectadas".

Además de las bases de datos ElasticSearch y MongoDB, otras plataformas se han visto afectadas por los ataques. Los investigadores de seguridad han reportado un menor número de ataques en instancias de Hadoop, Redis, Cassandra y Jenkins.

Elastic y MongoDB le dijeron a SearchSecurity que no creían que ninguna de las bases de datos eliminadas en sus respectivas plataformas tuviera controles de seguridad, como la protección con contraseña. Un portavoz de MongoDB dijo que los ataques "meow" solo afectaron la versión gratuita comunitaria de su software de base de datos, no los productos MongoDB Enterprise Advanced o MongoDB Atlas, y esas bases de datos estaban mal configuradas.

El 27 de julio, ElasticSearch abordó el problema en Twitter e instó a los usuarios a aplicar la configuración de seguridad adecuada para evitar los ataques.

"Los recientes ataques 'meow bot' buscan bases de datos abiertas y sobrescriben datos con la palabra 'meow' y una cadena de números aleatorios. Aprenda cómo proteger sus implementaciones de #ElasticSearch de esta y otras #basesdedatos de #ciberseguridad de forma gratuita", escribió ElasticSearch en el tuit

En general, las bases de datos expuestas son frecuentes en la web, según una nueva investigación del proveedor del administrador de contraseñas NordPass. La compañía se asoció con un hacker ético que escaneó las bibliotecas ElasticSearch y MongoDB durante un año completo, en busca de bases de datos desprotegidas expuestas en internet pública. "Los investigadores han identificado un total de 9.517 bases de datos no seguras que contienen 10,463,315,645 entradas con datos como correos electrónicos, contraseñas y números de teléfono. Las bases de datos se encontraron en 20 países diferentes", escribió NordPass en el documento de investigación.

China fue el primero en la lista de las bases de datos más expuestas, y Estados Unidos fue el segundo. Chad Hammond, experto en seguridad de NordPass, dijo que los ataques "meow" muestran cuán crucial es la seguridad adecuada de las bases de datos.

"Una vez más, nos gustaría reforzar que la protección adecuada debe incluir el cifrado de datos en reposo, el cifrado de datos por cable [en movimiento], la gestión de identidad y la gestión de vulnerabilidades", dijo Hammond. "Si bien este tipo de ataques son en realidad muy frecuentes, generalmente los atacantes piden rescate. Este ataque ‘meow’ parece diferente porque no están pidiendo dinero, sino simplemente borrando los datos".

Investigue más sobre Las amenazas de seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Close