亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

[TechWeb編譯]研究人員在互聯(lián)網(wǎng)上開放了一個(gè)配置不正確的數(shù)據(jù)庫，以了解誰會(huì)連接到這個(gè)數(shù)據(jù)庫，以及他們會(huì)竊取什么。

Comparitech研究人員報(bào)告說，配置錯(cuò)誤的數(shù)據(jù)庫在上線數(shù)小時(shí)后就會(huì)受到攻擊。該團(tuán)隊(duì)試圖了解更多關(guān)于攻擊者如何針對(duì)安全性較差的云數(shù)據(jù)庫的信息，這些數(shù)據(jù)庫繼續(xù)對(duì)世界各地的組織構(gòu)成安全風(fēng)險(xiǎn)。

當(dāng)與云相關(guān)的系統(tǒng)或資產(chǎn)沒有正確配置時(shí)，會(huì)發(fā)生云配置錯(cuò)誤，這會(huì)授予攻擊者訪問公司數(shù)據(jù)的權(quán)限。在過去的幾年里，一些企業(yè)不小心讓這些數(shù)據(jù)庫向互聯(lián)網(wǎng)開放，有時(shí)會(huì)暴露出數(shù)十億條記錄。不安全和配置錯(cuò)誤的服務(wù)器可能泄漏敏感的用戶數(shù)據(jù)，未經(jīng)授權(quán)的第三方通?？梢栽谖唇?jīng)身份驗(yàn)證或授權(quán)的情況下訪問或修改這些數(shù)據(jù)。

網(wǎng)絡(luò)安全專家鮑勃·迪亞琴科（Bob Diachenko）是Comparitech研究小組的負(fù)責(zé)人，他說，隨著Elasticsearch攻擊的加劇，他們開始追擊它。他們的目標(biāo)是強(qiáng)調(diào)在建立面向公眾的Elasticsearch實(shí)例時(shí)遵循基本保護(hù)措施的重要性。

研究人員在一個(gè)Elasticsearch實(shí)例上建立了一個(gè)蜜罐，或者一個(gè)數(shù)據(jù)庫的模擬。他們把假用戶數(shù)據(jù)放在蜜罐里，并在互聯(lián)網(wǎng)上公開曝光，看誰會(huì)連接到蜜罐，以及他們?nèi)绾卧噲D竊取、竊取或銷毀這些信息。Diachenko解釋說，這個(gè)實(shí)例只保存了219條記錄，或者說是幾兆字節(jié)的數(shù)據(jù)。

研究小組將這些數(shù)據(jù)從2020年5月11日至2020年5月22日公之于眾。在這段時(shí)間內(nèi)，蜜罐受到175個(gè)未經(jīng)授權(quán)的請(qǐng)求，研究人員稱之為“攻擊”。第一次發(fā)生在5月12日，大約在蜜罐部署后8個(gè)半小時(shí)。

襲擊事件在5月22日至6月5日之間有所增加，迪亞琴科說，在這段時(shí)間內(nèi)，共發(fā)生435起襲擊事件，平均每天29起。從5月27日開始，蜜罐申請(qǐng)數(shù)量“大幅增加”，5月30日達(dá)到68個(gè)申請(qǐng)的高峰。他說，就在同一天，一次攻擊請(qǐng)求搜索“支付”、“電子郵件”、“手機(jī)”、“gmail”、“密碼”、“錢包”和“訪問令牌”等關(guān)鍵詞。

Comparitech的Paul Bischoff在一篇關(guān)于這項(xiàng)研究的博客文章中解釋說，為了找到易受攻擊的數(shù)據(jù)庫，許多攻擊者使用了像Shodan或BinaryEdge這樣的物聯(lián)網(wǎng)搜索引擎。5月16日，Shodan將這個(gè)蜜罐編入了索引，這意味著它隨后被列在搜索結(jié)果中。比肖夫指出：“在被肖丹編入索引后的一分鐘內(nèi)，發(fā)生了兩起襲擊”。

在搜索引擎索引數(shù)據(jù)庫之前，發(fā)生了三十多起攻擊，這表明有多少攻擊者使用了自己的掃描工具，而不是等待物聯(lián)網(wǎng)搜索引擎抓取易受攻擊的數(shù)據(jù)庫。Comparitech指出，其中一些攻擊可能來自其他研究人員。然而，很難區(qū)分惡意和善意的行為體。

攻擊目標(biāo)和技巧。

大多數(shù)針對(duì)蜜罐的攻擊都需要有關(guān)數(shù)據(jù)庫狀態(tài)和設(shè)置的信息。其中，147個(gè)使用GET-request方法，24個(gè)使用POST方法，這在源自中國的活動(dòng)中很常見。另一次攻擊尋求有關(guān)服務(wù)器連接的數(shù)據(jù)。一名攻擊者想要獲取請(qǐng)求的標(biāo)頭而不接收響應(yīng)。研究人員發(fā)現(xiàn)，某些活動(dòng)旨在劫持服務(wù)器以進(jìn)行更多惡意活動(dòng)。

一個(gè)流行的攻擊目標(biāo)是CVE-2015-1427，這是Elasticsearch服務(wù)器上的遠(yuǎn)程代碼執(zhí)行漏洞。目的是訪問Elasticsearch環(huán)境并下載bash腳本挖掘器來挖掘cyptocurrency。另一次攻擊的目標(biāo)是服務(wù)器上存儲(chǔ)的密碼。一位參與者試圖更改服務(wù)器配置以刪除其所有數(shù)據(jù)。

研究人員還收集了攻擊者的位置，盡管他們注意到IP地址可以使用代理來掩蓋實(shí)際位置。迪亞琴科說，請(qǐng)求最多的國家是法國，其次是美國和中國。

他補(bǔ)充說，這個(gè)實(shí)驗(yàn)“非常有代表性”地說明了錯(cuò)誤配置和不受保護(hù)的數(shù)據(jù)庫可能面臨的危險(xiǎn)。正如研究人員所了解到的，攻擊者很快就試圖利用這一優(yōu)勢(shì)。

迪亞琴科說：“ Elasticsearch不執(zhí)行認(rèn)證或授權(quán)，而將其留給開發(fā)人員進(jìn)行。因此，保護(hù)所有Elasticsearch實(shí)例，特別是那些可以通過Internet訪問的實(shí)例，非常重要。”[TechWeb編譯]

免責(zé)聲明：以上內(nèi)容轉(zhuǎn)載自TMT觀察網(wǎng)，所發(fā)內(nèi)容不代表本平臺(tái)立場(chǎng)。