溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

怎么淺析云數(shù)據(jù)庫配置錯誤的危險性

發(fā)布時間:2021-12-02 11:26:53 來源:億速云 閱讀:146 作者:柒染 欄目:數(shù)據(jù)庫

今天就跟大家聊聊有關(guān)怎么淺析云數(shù)據(jù)庫配置錯誤的危險性,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結(jié)了以下內(nèi)容,希望大家根據(jù)這篇文章可以有所收獲。

研究人員在互聯(lián)網(wǎng)上開放了一個配置不正確的數(shù)據(jù)庫,以了解誰會連接到這個數(shù)據(jù)庫,以及他們會竊取什么。

Comparitech研究人員報告說,配置錯誤的數(shù)據(jù)庫在上線數(shù)小時后就會受到攻擊。該團隊試圖了解更多關(guān)于攻擊者如何針對安全性較差的云數(shù)據(jù)庫的信息,這些數(shù)據(jù)庫繼續(xù)對世界各地的組織構(gòu)成安全風(fēng)險。

當(dāng)與云相關(guān)的系統(tǒng)或資產(chǎn)沒有正確配置時,會發(fā)生云配置錯誤,這會授予攻擊者訪問公司數(shù)據(jù)的權(quán)限。在過去的幾年里,一些企業(yè)不小心讓這些數(shù)據(jù)庫向互聯(lián)網(wǎng)開放,有時會暴露出數(shù)十億條記錄。不安全和配置錯誤的服務(wù)器可能泄漏敏感的用戶數(shù)據(jù),未經(jīng)授權(quán)的第三方通??梢栽谖唇?jīng)身份驗證或授權(quán)的情況下訪問或修改這些數(shù)據(jù)。

網(wǎng)絡(luò)安全專家鮑勃·迪亞琴科(Bob Diachenko)是Comparitech研究小組的負(fù)責(zé)人,他說,隨著Elasticsearch攻擊的加劇,他們開始追擊它。他們的目標(biāo)是強調(diào)在建立面向公眾的Elasticsearch實例時遵循基本保護措施的重要性。

研究人員在一個Elasticsearch實例上建立了一個蜜罐,或者一個數(shù)據(jù)庫的模擬。他們把假用戶數(shù)據(jù)放在蜜罐里,并在互聯(lián)網(wǎng)上公開曝光,看誰會連接到蜜罐,以及他們?nèi)绾卧噲D竊取、竊取或銷毀這些信息。Diachenko解釋說,這個實例只保存了219條記錄,或者說是幾兆字節(jié)的數(shù)據(jù)。

研究小組將這些數(shù)據(jù)從2020年5月11日至2020年5月22日公之于眾。在這段時間內(nèi),蜜罐受到175個未經(jīng)授權(quán)的請求,研究人員稱之為“攻擊”。第一次發(fā)生在5月12日,大約在蜜罐部署后8個半小時。

襲擊事件在5月22日至6月5日之間有所增加,迪亞琴科說,在這段時間內(nèi),共發(fā)生435起襲擊事件,平均每天29起。從5月27日開始,蜜罐申請數(shù)量“大幅增加”,5月30日達到68個申請的高峰。他說,就在同一天,一次攻擊請求搜索“支付”、“電子郵件”、“手機”、“gmail”、“密碼”、“錢包”和“訪問令牌”等關(guān)鍵詞。

Comparitech的Paul Bischoff在一篇關(guān)于這項研究的博客文章中解釋說,為了找到易受攻擊的數(shù)據(jù)庫,許多攻擊者使用了像Shodan或BinaryEdge這樣的物聯(lián)網(wǎng)搜索引擎。5月16日,Shodan將這個蜜罐編入了索引,這意味著它隨后被列在搜索結(jié)果中。比肖夫指出:“在被肖丹編入索引后的一分鐘內(nèi),發(fā)生了兩起襲擊”。

在搜索引擎索引數(shù)據(jù)庫之前,發(fā)生了三十多起攻擊,這表明有多少攻擊者使用了自己的掃描工具,而不是等待物聯(lián)網(wǎng)搜索引擎抓取易受攻擊的數(shù)據(jù)庫。Comparitech指出,其中一些攻擊可能來自其他研究人員。然而,很難區(qū)分惡意和善意的行為體。

攻擊目標(biāo)和技巧。購買騰訊云服務(wù)器ECS或其它任何產(chǎn)品,請先領(lǐng)取騰訊云通用代金券禮包www.fuwuqidl.com!

大多數(shù)針對蜜罐的攻擊都需要有關(guān)數(shù)據(jù)庫狀態(tài)和設(shè)置的信息。其中,147個使用GET-request方法,24個使用POST方法,這在源自中國的活動中很常見。另一次攻擊尋求有關(guān)服務(wù)器連接的數(shù)據(jù)。一名攻擊者想要獲取請求的標(biāo)頭而不接收響應(yīng)。研究人員發(fā)現(xiàn),某些活動旨在劫持服務(wù)器以進行更多惡意活動。

一個流行的攻擊目標(biāo)是CVE-2015-1427,這是Elasticsearch服務(wù)器上的遠(yuǎn)程代碼執(zhí)行漏洞。目的是訪問Elasticsearch環(huán)境并下載bash腳本挖掘器來挖掘cyptocurrency。另一次攻擊的目標(biāo)是服務(wù)器上存儲的密碼。一位參與者試圖更改服務(wù)器配置以刪除其所有數(shù)據(jù)。

研究人員還收集了攻擊者的位置,盡管他們注意到IP地址可以使用代理來掩蓋實際位置。迪亞琴科說,請求最多的國家是法國,其次是美國和中國。

他補充說,這個實驗“非常有代表性”地說明了錯誤配置和不受保護的數(shù)據(jù)庫可能面臨的危險。正如研究人員所了解到的,攻擊者很快就試圖利用這一優(yōu)勢。

迪亞琴科說:“ Elasticsearch不執(zhí)行認(rèn)證或授權(quán),而將其留給開發(fā)人員進行。因此,保護所有Elasticsearch實例,特別是那些可以通過Internet訪問的實例,非常重要。”

看完上述內(nèi)容,你們對怎么淺析云數(shù)據(jù)庫配置錯誤的危險性有進一步的了解嗎?如果還想了解更多知識或者相關(guān)內(nèi)容,請關(guān)注億速云行業(yè)資訊頻道,感謝大家的支持。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI