Blog

Si vous les exposez, ils viendront : notre pot de données attire des centaines d'attaquants

MongoDB non sécurisé attaqué



L’équipe de recherche en sécurité de Comparitech, dirigée par l’expert en cybersécurité Bob Diachenko, recherche régulièrement les serveurs non sécurisés ou mal configurés qui divulguent des données utilisateur sensibles sur le Web. Les bases de données vulnérables constituent un problème répandu parmi les organisations qui stockent des données en ligne, permettant à des tiers non autorisés de rechercher, d'accéder et même de modifier les données exposées sans mot de passe ni autre authentification. De tels faux pas entraînent souvent des violations de données, mettant en danger la vie privée et la sécurité des utilisateurs.

Nous souhaitions connaître la nature de ces demandes non autorisées et d'où elles proviennent. Pour ce faire, les chercheurs de Comparitech ont créé une base de données MongoDB sur un serveur non sécurisé pour l'utiliser comme pot de miel. Le pot de miel contenait de fausses données utilisateur destinées à attirer des utilisateurs non autorisés. L’équipe a enregistré 428 connexions non autorisées sur une période de trois semaines entre le 12 juin et le 3 juillet 2020.



L'expérience est similaire à un un précédent dans lequel nous avons exposé un pot de miel de base de données Elasticsearch pour voir combien de temps il faudrait à des utilisateurs non autorisés pour le trouver et l'attaquer. Cette étude se concentre sur l’origine et la nature de ces attaques.

Voici un aperçu de ce que nous avons trouvé :



La moitié de toutes les demandes provenaient des États-Unis

Dépendance des demandes par rapport aux pays

Sur les 428 requêtes non autorisées adressées à notre pot de miel MongoDB, 218 d'entre elles provenaient d'adresses IP enregistrées aux États-Unis.

Le pays le plus proche était les Pays-Bas (51), suivis de la France (34), de Singapour et de la Russie. Consultez la carte ci-dessous pour voir les hotspots d’où proviennent les demandes.

Carte d

Notez que ce n’est pas parce qu’une adresse IP est associée à un certain pays que l’attaquant se trouve dans ce pays. Les requêtes peuvent être envoyées à distance depuis des machines virtuelles et des serveurs, ainsi que via des proxys.

Diachenko suppose que les adresses IP américaines sont populaires parmi les attaquants car elles sont moins susceptibles d’être signalées comme malveillantes. De nombreux scanners Web légaux dans le monde sont par exemple basés aux États-Unis.

40 % des demandes ont volé, modifié et/ou détruit des données

nombre de types d Les chercheurs ont classé chacune des demandes non autorisées dans l’un des quatre types suivants :

  • 127 analyses légitimes : requêtes provenant d'adresses IP enregistrées comme scanners Internet qui indiquent clairement leur objectif. Un exemple est Intrinsec, une société française de sécurité informatique qui cartographie les données open source sur Internet pour fournir des services de sécurité à ses clients. Il a adressé 34 requêtes à notre honeypot, dont aucune malveillante, ce qui représente l'intégralité des requêtes en provenance de France. intrinsèque
  • 130 vérifications d'état : requêtes pour la plupart bénignes qui vérifient l'état du serveur et de la connexion. Celles-ci sont similaires aux analyses légitimes, mais le motif et l’identité de la partie non autorisée ne sont pas connus. Aucune donnée n'est consultée, modifiée ou supprimée.
  • 137 vols de données : demandes d'affichage, de récupération et de téléchargement de données à partir du serveur non sécurisé sans autorisation.
  • 34 requêtes destructives : Requêtes malveillantes qui modifient et/ou détruisent les données sur le serveur. Dans de nombreux cas, les données sont téléchargées par l'attaquant avant d'être supprimées. L'attaquant laisse ensuite une note exigeant une rançon pour le retour des données en toute sécurité.

La plupart des adresses IP ont été mises sur liste noire

graphique ip pi

Plusieurs organisations maintiennent des listes noires d'adresses IP connues pour être malveillantes. Ceux-ci inclus Cisco Talos , AbusIPDB , et CBL .

Au total, les chercheurs de Comparitech ont enregistré des requêtes provenant de 108 adresses IP uniques. Toutes sauf cinq figuraient sur au moins une de ces listes noires, ce qui représente environ 85 % de toutes les demandes non autorisées enregistrées.

Trois des cinq adresses IP non répertoriées provenaient de Singapour et deux des États-Unis. Tous les trois ont fait plusieurs demandes entrant dans la catégorie « vol de données » ci-dessus.

Les robots jouent un rôle important dans le vol de données

Parmi toutes les requêtes malveillantes reçues par notre pot de miel, un nombre important semble provenir de robots. L’adresse IP qui envoyait les requêtes les plus malveillantes, selon la liste noire de CBL, faisait partie du botnet Conficker. Il a établi 26 connexions pour voler du contenu et des métadonnées de la base de données non sécurisée.

Deux autres adresses IP ayant envoyé un grand nombre de requêtes ont été infectées par Confiser et Gamarue les réseaux de zombies.

Deux des adresses IP qui n’avaient pas été mises sur liste noire étaient associées à des sites Web personnels appartenant à un développeur Web et photographe. Il est probable qu’ils aient été infectés par un botnet et que les propriétaires ne sachent pas que leurs sites sont utilisés pour rechercher et voler des données.

20 demandes non autorisées par jour

Intervalle de temps

La première attaque a eu lieu 7 heures et 31 minutes après avoir exposé le pot de miel. Ceci est conforme à notre expérience précédente de pot de miel à l'aide d'un serveur Elasticsearch, qui a reçu sa première requête non autorisée 8 heures et 35 minutes après le déploiement.

Sur toute la période d’observation, le pot de miel MongoDB a reçu en moyenne 20 requêtes non autorisées par jour, contre 18 pour le pot de miel Elasticsearch.

Le plus grand nombre de demandes en une seule journée, 45, a eu lieu le 19 juin 2020, lorsque la base de données a été indexée par les moteurs de recherche.

Correction:Une version antérieure de cet article indiquait à tort que le pot de miel était ouvert pendant trois mois. Il est resté ouvert pendant trois semaines.

Lecture recommandée: Comment établir un pot de miel sur votre réseau

«Abeille à miel de juillet» par MatX27 est licencié sous CC BY-SA 2.0

^