共计 1810 个字符,预计需要花费 5 分钟才能阅读完成。
今天就跟大家聊聊有关怎么浅析云数据库配置错误的危险性,可能很多人都不太了解,为了让大家更加了解,丸趣 TV 小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。
研究人员在互联网上开放了一个配置不正确的数据库,以了解谁会连接到这个数据库,以及他们会窃取什么。
Comparitech 研究人员报告说,配置错误的数据库在上线数小时后就会受到攻击。该团队试图了解更多关于攻击者如何针对安全性较差的云数据库的信息,这些数据库继续对世界各地的组织构成安全风险。
当与云相关的系统或资产没有正确配置时,会发生云配置错误,这会授予攻击者访问公司数据的权限。在过去的几年里,一些企业不小心让这些数据库向互联网开放,有时会暴露出数十亿条记录。不安全和配置错误的服务器可能泄漏敏感的用户数据,未经授权的第三方通常可以在未经身份验证或授权的情况下访问或修改这些数据。
网络安全专家鲍勃·迪亚琴科 (Bob
Diachenko) 是 Comparitech 研究小组的负责人,他说,随着 Elasticsearch 攻击的加剧,他们开始追击它。他们的目标是强调在建立面向公众的 Elasticsearch 实例时遵循基本保护措施的重要性。
研究人员在一个 Elasticsearch 实例上建立了一个蜜罐,或者一个数据库的模拟。他们把假用户数据放在蜜罐里,并在互联网上公开曝光,看谁会连接到蜜罐,以及他们如何试图窃取、窃取或销毁这些信息。Diachenko 解释说,这个实例只保存了 219 条记录,或者说是几兆字节的数据。
研究小组将这些数据从 2020 年 5 月 11 日至 2020 年 5 月 22 日公之于众。在这段时间内,蜜罐受到 175 个未经授权的请求,研究人员称之为“攻击”。第一次发生在 5 月 12 日,大约在蜜罐部署后 8 个半小时。
袭击事件在 5 月 22 日至 6 月 5 日之间有所增加,迪亚琴科说,在这段时间内,共发生 435 起袭击事件,平均每天 29 起。从 5 月 27 日开始,蜜罐申请数量“大幅增加”,5 月 30 日达到 68 个申请的高峰。他说,就在同一天,一次攻击请求搜索“支付”、“电子邮件”、“手机”、“gmail”、“密码”、“钱包”和“访问令牌”等关键词。
Comparitech 的 Paul
Bischoff 在一篇关于这项研究的博客文章中解释说,为了找到易受攻击的数据库,许多攻击者使用了像 Shodan 或 BinaryEdge 这样的物联网搜索引擎。5 月 16 日,Shodan 将这个蜜罐编入了索引,这意味着它随后被列在搜索结果中。比肖夫指出:“在被肖丹编入索引后的一分钟内,发生了两起袭击”。
在搜索引擎索引数据库之前,发生了三十多起攻击,这表明有多少攻击者使用了自己的扫描工具,而不是等待物联网搜索引擎抓取易受攻击的数据库。Comparitech 指出,其中一些攻击可能来自其他研究人员。然而,很难区分恶意和善意的行为体。
攻击目标和技巧。购买腾讯云服务器 ECS 或其它任何产品,请先领取腾讯云通用代金券礼包 www.fuwuqidl.com!
大多数针对蜜罐的攻击都需要有关数据库状态和设置的信息。其中,147 个使用 GET-request 方法,24 个使用 POST 方法,这在源自中国的活动中很常见。另一次攻击寻求有关服务器连接的数据。一名攻击者想要获取请求的标头而不接收响应。研究人员发现,某些活动旨在劫持服务器以进行更多恶意活动。
一个流行的攻击目标是 CVE-2015-1427,这是 Elasticsearch 服务器上的远程代码执行漏洞。目的是访问 Elasticsearch 环境并下载 bash 脚本挖掘器来挖掘 cyptocurrency。另一次攻击的目标是服务器上存储的密码。一位参与者试图更改服务器配置以删除其所有数据。
研究人员还收集了攻击者的位置,尽管他们注意到 IP 地址可以使用代理来掩盖实际位置。迪亚琴科说,请求最多的国家是法国,其次是美国和中国。
他补充说,这个实验“非常有代表性”地说明了错误配置和不受保护的数据库可能面临的危险。正如研究人员所了解到的,攻击者很快就试图利用这一优势。
迪亚琴科说:“
Elasticsearch 不执行认证或授权,而将其留给开发人员进行。因此,保护所有 Elasticsearch 实例,特别是那些可以通过 Internet 访问的实例,非常重要。”
看完上述内容,你们对怎么浅析云数据库配置错误的危险性有进一步的了解吗?如果还想了解更多知识或者相关内容,请关注丸趣 TV 行业资讯频道,感谢大家的支持。
