Meow : des bases de données non sécurisées se font nettoyer
“meow”. Sur Shodan, une rapide recherche permet de se rendre compte de l’étendue des dégâts. Depuis une dizaine de jours, un internaute s’emploie à identifier des bases de données exposées sur le réseau sans authentification et à supprimer le contenu de celles-ci. L’attaque est à chaque fois signée : les noms des bases de données sont modifiés pour afficher le mot “meow” (“miaou” en anglais).
L’attaque est toujours en cours, et s’appuie visiblement sur un script automatisé pour procéder à la suppression du contenu des bases de données. Bleeping Computer indiquait ainsi ce week-end avoir identifié grâce à Shodan plus de 4 000 instances de bases de données affectées par l’attaque. Cette dernière a été mise en lumière par Bob Diachenko, qui a découvert le phénomène suite à sa publication sur les bases de données exposées par UFO VPN. L’une de ces bases de données a en effet été affectée par l’attaque, comme l’expliquait le chercheur sur Twitter : la totalité des données contenues a été supprimée et les bases de données ont été renommés pour inclure le mot “meow”.
New Elasticsearch bot attack does not contain any ransom or threats, just ‘meow’ with a random set of numbers. It is quite fast and search&destroy new clusters pretty effectively pic.twitter.com/F8Ke3CI64i
— Bob Diachenko (@MayhemDayOne) July 20, 2020
Depuis, le nombre de bases de données affectées par l’attaque ne cesse de grandir : l’attaquant vise apparemment les bases de données ne disposant pas de mécanisme d’authentification, et donc librement accessibles sur le réseau. Les bases de données principalement affectées sont les bases ElasticSearch, MongoDB, Redis et Apache ZooKeeper. Pour l’instant, les motivations des attaquants ne sont pas claires. L’attaque ressemble fortement aux attaques qui visent à extorquer des rançons à des administrateurs de base de données après avoir supprimé les données, mais dans ce cas de figure aucune demande de rançon n’a été communiquée. Les attaquants se contentent de supprimer le contenu des bases de données sans donner la moindre explication.
