مهم‌ترین آسیب‌پذیری پایگاه‌داده‌ها در ابر عمومی: پیکربندی نادرست

پایگاه داده‌های ابر عمومی با پیکربندی نادرست که در اینترنت قرار می‌گیرند، مشکل بزرگی هستند. اکتشافات جدید توسط پژوهش‌گران امنیتی و به صورت هفتگی کشف و گزارش می‌شود. پایگاه داده‌ها که معمولاً حاوی اطلاعات حساس هستند، اغلب در فضای ذخیره‌سازی ابر عمومی بدون کنترل دسترسی‌ها رها می‌شوند. این مشکل به حدی جدی است که در ماه ژانویه‌ی سال ۲۰۲۰ میلادی، NSA هشدار داد که پیکربندی نادرست منابع ابری همچنان رایج‌ترین آسیب‌پذیری فضای ابری است. این‌گونه پایگاه داده‌ها برای هر کسی که آن‌ها را پیدا کند، قابل دسترسی و بارگیری و دست‌کاری هستند.

هنگامی که پژوهش‌گران آن‌ها را پیدا کنند، بلافاصله یافته‌های خود را به صاحبان پایگاه داده‌ها گزارش می‌دهند و مشکل در عرض چند ساعت برطرف می‌شود. بااین‌حال، گاهی اوقات صاحب آن مشخص نیست و ممکن است چند هفته طول بکشد تا پژوهش‌گران صاحب آن را پیدا کنند. معمولاً مشخص نیست که پایگاه داده چه مدت قبل از کشف پژوهش‌گران آنلاین بوده است.

سوال بزرگ این است که عاملان بد چند وقت یک بار چنین پایگاه داده‌هایی را پیدا می‌کنند. به‌گفته‌ی صاحبان پایگاه داده این اتفاق زیاد رخ نمی‌دهد. در مواردی که صاحب یک پایگاه داده این مسأله را تأیید می‌کند، دیدگاه رایج این است که دلیلی ندارند که دسترسی شخص ثالث به داده‌هایشان را باور کنند.

پژوهش‌گران تلاش کرده‌اند که با ایجاد یک Elasticsearch honeypot حاوی داده‌های کاربر جعلی این باور را تأیید کنند. آن‌ها می‌خواهند بفهمند که در صورت عدم وجود امنیت، چقدر سریع ممکن است داده‌ها افشا شوند. داده‌های آن‌ها تنها به مدت ۱۱ روز از تاریخ ۱۱ مِه تا ۲۲ مِه سال ۲۰۲۰ میلادی افشا شد. در طول این مدت، ۱۷۵ درخواست غیرمجاز ایجاد شد که تنها کمتر از ۹ ساعت پس از استقرار آغاز شد.

پژوهش‌گران و مهاجمان از موتورهای جستجوی تخصصی مانند Shodan برای کشف پایگاه داده‌هایی با پیکربندی نادرست استفاده می‌کنند. Shodan در ۱۶ مِه این honeypot را فهرست کرد. در عرض یک دقیقه پس از فهرست شدن، دو حمله به آن انجام شد و در آن روز بیشتر از هر روز دیگر مورد حمله قرار گرفت.

با این وجود، پژوهش‌گران خاطرنشان کردند که قبل از فهرست کردن Shodan، چندین حمله رخ داد و نتیجه‌گیری می‌کند که بسیاری از مهاجمان برای خزیدن در پایگاه داده‌های آسیب‌پذیر به جای منتظر ماندن برای موتورهای جستجوی منفعل اینترنت اشیا مانند Shodan به ابزارهای اسکن فعال خود تکیه می‌کنند.  

بسیاری از این حملات از آدرس‌های IP واقع در امریکا، رومانی و چین انجام شده‌اند. اکثر آن‌ها به دنبال اطلاعات مربوط به وضعیت پایگاه داده و تنظیمات آن هستند. بااین‌حال، سه نوع حمله برجسته وجود دارد: حملات cryptojacking، سرقت گواهی‌نامه و باج‌افزاری. حملات cryptojacking یک آسیب‌پذیری بهره‌برداری از کد راه دور را به منظور دست‌یابی به دسترسی‌ها توسط توابع جاوا و بارگیری استخراج‌کننده‌ی bash script هدف قرار می‌دهند.

پژوهش‌گران بیان می‌کنند که حمله‌ی متداول دیگر گذرواژه‌های موجود در فایل /etc/passwd سرور را هدف قرار می‌دهد. این حمله مانند حمله‌ی cryptojacking از همان آسیب‌پذیری و آسیب‌پذیری پیمایش مسیر دیگری بهره‌برداری می‌کند.

حمله‌ی باج‌افزاری پس از آن‌که جستجوی honeypot فعال پایان یافت، رخ داد، اما این درحالی بود که سرور هنوز باز و آسیب‌پذیر بود. یک ربات مخرب این honeypot را کشف و یک حمله راه‌اندازی کرد که محتوا را حذف کرد و برای درخواست پرداخت باج یک پیام با اطلاعات تماس گذاشت. این حمله تنها ۵ ثانیه طول کشید.

پایگاه داده‌های ابر عمومی با پیکربندی نادرست به سرعت کشف و توسط عاملان بد مورد حمله قرار می‌گیرند. تجزیه و تحلیل‌ها نشان می‌دهد که داده‌های بیشتری از آن‌چه که گزارش می‌شود، از پایگاه داده‌های ناامن به سرقت می‌رود. همین مسأله در مورد حملات باج‌افزاری نیز صادق است.

منبع

پست‌های مشابه

Leave a Comment