淺析雲資料庫配置錯誤的危險性

研究人員在網際網路上開放了一個配置不正確的資料庫，以瞭解誰會連線到這個資料庫，以及他們會竊取什麼。

Comparitech研究人員報告說，配置錯誤的資料庫在上線數小時後就會受到攻擊。該團隊試圖瞭解更多關於攻擊者如何針對安全性較差的雲資料庫的資訊，這些資料庫繼續對世界各地的組織構成安全風險。

當與雲相關的系統或資產沒有正確配置時，會發生雲配置錯誤，這會授予攻擊者訪問公司資料的許可權。在過去的幾年裡，一些企業不小心讓這些資料庫向網際網路開放，有時會暴露出數十億條記錄。不安全和配置錯誤的伺服器可能洩漏敏感的使用者資料，未經授權的第三方通常可以在未經身份驗證或授權的情況下訪問或修改這些資料。

網路安全專家鮑勃·迪亞琴科(Bob Diachenko)是Comparitech研究小組的負責人，他說，隨著Elasticsearch攻擊的加劇，他們開始追擊它。他們的目標是強調在建立面向公眾的Elasticsearch例項時遵循基本保護措施的重要性。

研究人員在一個Elasticsearch例項上建立了一個蜜罐，或者一個資料庫的模擬。他們把假使用者資料放在蜜罐裡，並在網際網路上公開曝光，看誰會連線到蜜罐，以及他們如何試圖竊取、竊取或銷燬這些資訊。Diachenko解釋說，這個例項只儲存了219條記錄，或者說是幾兆位元組的資料。

研究小組將這些資料從2020年5月11日至2020年5月22日公之於眾。在這段時間內，蜜罐受到175個未經授權的請求，研究人員稱之為“攻擊”。第一次發生在5月12日，大約在蜜罐部署後8個半小時。

襲擊事件在5月22日至6月5日之間有所增加，迪亞琴科說，在這段時間內，共發生435起襲擊事件，平均每天29起。從5月27日開始，蜜罐申請數量“大幅增加”，5月30日達到68個申請的高峰。他說，就在同一天，一次攻擊請求搜尋“支付”、“電子郵件”、“手機”、“gmail”、“密碼”、“錢包”和“訪問令牌”等關鍵詞。

Comparitech的Paul Bischoff在一篇關於這項研究的部落格文章中解釋說，為了找到易受攻擊的資料庫，許多攻擊者使用了像Shodan或BinaryEdge這樣的物聯網搜尋引擎。5月16日，Shodan將這個蜜罐編入了索引，這意味著它隨後被列在搜尋結果中。比肖夫指出：“在被肖丹編入索引後的一分鐘內，發生了兩起襲擊”。

在搜尋引擎索引資料庫之前，發生了三十多起攻擊，這表明有多少攻擊者使用了自己的掃描工具，而不是等待物聯網搜尋引擎抓取易受攻擊的資料庫。Comparitech指出，其中一些攻擊可能來自其他研究人員。然而，很難區分惡意和善意的行為體。

攻擊目標和技巧。購買騰訊雲伺服器ECS或其它任何產品，請先領取騰訊雲通用代金券禮包！

大多數針對蜜罐的攻擊都需要有關資料庫狀態和設定的資訊。其中，147個使用GET-request方法，24個使用POST方法，這在源自中國的活動中很常見。另一次攻擊尋求有關伺服器連線的資料。一名攻擊者想要獲取請求的標頭而不接收響應。研究人員發現，某些活動旨在劫持伺服器以進行更多惡意活動。

一個流行的攻擊目標是CVE-2015-1427，這是Elasticsearch伺服器上的遠端程式碼執行漏洞。目的是訪問Elasticsearch環境並下載bash指令碼挖掘器來挖掘cyptocurrency。另一次攻擊的目標是伺服器上儲存的密碼。一位參與者試圖更改伺服器配置以刪除其所有資料。

研究人員還收集了攻擊者的位置，儘管他們注意到IP地址可以使用代理來掩蓋實際位置。迪亞琴科說，請求最多的國家是法國，其次是美國和中國。

他補充說，這個實驗“非常有代表性”地說明了錯誤配置和不受保護的資料庫可能面臨的危險。正如研究人員所瞭解到的，攻擊者很快就試圖利用這一優勢。

迪亞琴科說：“ Elasticsearch不執行認證或授權，而將其留給開發人員進行。因此，保護所有Elasticsearch例項，特別是那些可以透過Internet訪問的例項，非常重要。”