云数据库配置错误的危险

本篇文章1514字，读完约4分钟

研究人员在互联网上打开了一个配置不正确的数据库，以找出谁将连接到这个数据库，他们将窃取什么。

Comparitech的研究人员报告说，一个配置错误的数据库在上线几个小时后就会遭到攻击。该团队正试图了解更多关于攻击者如何锁定不太安全的云数据库的信息，这些数据库继续给世界各地的组织带来安全风险。

当云相关系统或资产配置不正确时，将会出现云配置错误，这将使攻击者能够访问公司数据。在过去几年中，一些企业意外地将这些数据库向互联网开放，有时会暴露数十亿条记录。不安全和配置错误的服务器可能会泄露敏感的用户数据，未经授权的第三方可以在没有身份验证或授权的情况下访问或修改这些数据。

Bob diachenko是一位网络安全专家，也是comparitech研究小组的负责人，他说随着弹性搜索攻击的加剧，他们开始追踪它。他们的目标是强调在为公众建立弹性搜索实例时遵循基本保护措施的重要性。

研究人员在弹性搜索实例上建立了一个蜜罐或数据库模拟。他们将伪造的用户数据放入蜜罐，并在互联网上公开披露，以了解谁将连接到蜜罐，以及他们如何试图窃取、窃取或销毁信息。迪亚琴科解释说，这个例子只保存了219条记录，或者几兆字节的数据。

研究小组从2020年5月11日到2020年5月22日发布了这些数据。在此期间，蜜罐收到了175个未经授权的请求，研究人员称之为攻击。第一次发生在5月12日，大约在蜜罐部署后八个半小时。

袭击从5月22日增加到6月5日。Diacenco说，在此期间，发生了435起袭击事件，平均每天29起。从5月27日开始，蜜罐应用的数量大幅增加，并在5月30日达到68个应用的高峰。他说，就在同一天，一名攻击者要求输入支付、电子邮件、手机、gmail、密码、钱包和访问令牌等关键词。

comparitech的Paul bischoff在一篇关于这项研究的博客文章中解释说，为了找到易受攻击的数据库，许多攻击者使用像shodan或binaryedge这样的IOT搜索引擎。5月16日，shodan对蜜罐进行了索引，这意味着它后来被列入了搜索结果。比肖夫指出，在被肖丹编入索引后的一分钟内，发生了两次攻击。

在搜索引擎对数据库进行索引之前，已经发生了30多次攻击，这显示了有多少攻击者使用他们自己的扫描工具，而不是等待物联网搜索引擎来抓取易受攻击的数据库。Comparitech指出，其中一些攻击可能来自其他研究人员。然而，很难区分恶意和善意的行为者。

攻击目标和技能。

大多数针对蜜罐的攻击需要关于数据库状态和设置的信息。其中，147人使用get-request方法，24人使用post方法，这在源自中国的活动中非常常见。另一个攻击是寻找关于服务器连接的数据。攻击者希望在没有收到响应的情况下获取请求的标头。研究人员发现，一些活动旨在劫持服务器进行更多的恶意活动。

一个流行的攻击目标是cve-2015-1427，这是一个弹性搜索服务器上的远程代码执行漏洞。目的是访问弹性搜索环境并下载bash脚本挖掘程序来挖掘密码。另一个攻击针对存储在服务器上的密码。一名参与者试图更改服务器配置以删除其所有数据。

研究人员还收集了攻击者的位置，尽管他们注意到ip地址可以使用代理来掩盖实际位置。迪亚科说，要求最多的国家是法国，其次是美国和中国。

他补充说，这个实验是一个非常有代表性的例子，说明了配置错误和未受保护的数据库可能面临的危险。研究人员了解到，攻击者很快就会试图利用这一优势。

Diacenco说:弹性搜索不执行认证或授权，而是留给开发者。因此，保护所有弹性搜索实例非常重要，尤其是那些可以通过互联网访问的实例。[techweb编译]

来源：搜狐微门户