Bases de datos mal configuradas Horas específicas después de la implementación


Los investigadores dejaron abierta una foundation de datos mal configurada en World-wide-web para saber quién se conectaría a ella y qué robarían.

Las bases de datos mal configuradas están sujetas a ataques horas después de que aparecen en línea, informan investigadores de Comparitech. El equipo buscó obtener más información sobre cómo los atacantes atacan bases de datos en la nube mal protegidas, que siguen representando un riesgo de seguridad para las organizaciones de todo el mundo.

Los errores de configuración en la nube, que se producen cuando los sistemas o activos relacionados con la nube no están configurados correctamente, pueden otorgar a los atacantes acceso a los datos corporativos. En los últimos años, varias empresas han dejado accidentalmente estas bases de datos abiertas a Online, a veces exponiendo hasta miles de millones de registros. Los servidores no garantizados y mal configurados pueden filtrar datos confidenciales de los usuarios, a los que terceros no autorizados a menudo pueden acceder o modificar sin autenticación o autorización.

El experto en ciberseguridad Bob Diachenko, que dirigió el equipo de investigación de Comparitech en este proyecto, dice que un aumento en los ataques de Elasticsearch los llevó a perseguirlo. Su objetivo period resaltar la importancia de seguir las salvaguardas básicas al configurar una instancia de Elasticsearch de cara al público.

Los investigadores configuraron un honeypot, o simulación de una foundation de datos, en una instancia de Elasticsearch. Pusieron datos de usuario falsos dentro del honeypot y lo dejaron expuesto públicamente en Net para ver quién se conectaría a él y cómo intentarían robar, raspar o destruir la información. La instancia contenía solo 219 registros, o un par de megabytes de datos, explica Diachenko.

El equipo dejó estos datos expuestos desde el 11 de mayo de 2020 hasta el 22 de mayo de 2020. Durante ese período de tiempo, el honeypot estuvo sujeto a 175 solicitudes no autorizadas, que los investigadores en basic llaman «ataques». El primero ocurrió el 12 de mayo, aproximadamente ocho horas y media después de su despliegue.

Los ataques aumentaron entre el 22 de mayo y el 5 de junio, tiempo durante el cual Diachenko dice que hubo 435 ataques, un promedio de 29 por día. A partir del 27 de mayo, hubo un «aumento significativo» en el número de solicitudes para el honeypot, y se produjo un pico de 68 solicitudes el 30 de mayo. El mismo día, dice, un ataque realizó solicitudes en busca de palabras clave como «pago , «» correo electrónico «,» móvil «,» gmail «,» contraseña «,» billetera «y» token de acceso «.

Para encontrar bases de datos vulnerables, muchos atacantes usan un motor de búsqueda de Online de las cosas (IoT) como Shodan o BinaryEdge, explica Paul Bischoff de Comparitech en un entrada en el site en la investigación Shodan indexó el honeypot el 16 de mayo, lo que significa que luego se incluyó en los resultados de búsqueda. «A solo un minuto de haber sido indexado por Shodan, se produjeron dos ataques», señala Bischoff.

Se produjeron más de tres docenas de ataques antes de que los motores de búsqueda indexaran la foundation de datos, lo que indica cuántos atacantes usan sus propias herramientas de escaneo en lugar de esperar a que los motores de búsqueda de IoT rastreen bases de datos vulnerables. Comparitech señala que algunos de estos ataques podrían provenir de otros investigadores Sin embargo, es difícil distinguir actores maliciosos y benignos.

Objetivos de ataque y técnicas
La mayoría de los ataques dirigidos al honeypot querían información sobre el estado y la configuración de la foundation de datos. De estos, 147 usaron el método de solicitud GET y 24 usaron el método Write-up, que era común para actividades originadas en China. Otro ataque buscó datos sobre la conexión del servidor. Un atacante quería obtener los encabezados de las solicitudes sin recibir respuestas. Los investigadores encontraron que cierta actividad fue diseñada para secuestrar los servidores para obtener más actividad maliciosa.

Un ataque well known apuntó a CVE-2015-1427, una falla de ejecución remota de código en los servidores Elasticsearch. El objetivo period acceder al entorno Elasticsearch y descargar el minero de script bash para minar la moneda electronic. Otro ataque apuntó contraseñas almacenadas en el servidor. Un actor intentó cambiar la configuración del servidor para eliminar todos sus datos.

Los investigadores también recopilaron las ubicaciones de los atacantes, aunque señalan que las direcciones IP se pueden cambiar usando un proxy para enmascarar la ubicación serious. Diachenko dice que el mayor número de solicitudes (191) provino de Francia, seguido de Estados Unidos (134) y China (230).

Este experimento es «muy representativo» de los peligros que pueden ocurrir con bases de datos mal configuradas y desprotegidas, agrega. Como descubrieron los investigadores, los atacantes no tardaron mucho en intentar aprovecharse.

«Elasticsearch no realiza autenticación o autorización, dejándolo como un ejercicio para el desarrollador», dice Diachenko. «Por lo tanto, es muy importante asegurar todas las instancias de Elasticsearch, especialmente aquellas a las que se puede acceder por Online».

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Kelly Sheridan es la Editora de particular de Dark Reading, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance & Technological innovation, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más strategies





Enlace a la noticia initial