Angriff auf MongoDB und ElasticSearch

Meow – und die Daten sind futsch

24.07.2020
Von 
Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP; Betreuung von News und Titel-Strecken in der Print-Ausgabe der COMPUTERWOCHE.
Ein Hacker-Bot sucht ungesicherte Datenbanken in der Cloud und zerstört sie. Die Daten werden einfach überschrieben – mit Abschiedsgrüßen von "Meow".
Welche Hacker hinter "Meow" stecken, ist noch nicht bekannt.
Welche Hacker hinter "Meow" stecken, ist noch nicht bekannt.
Foto: firokda - shutterstock.com

Eine bis dato unbekannte Hackergruppe macht Jagd auf ungesicherte Datenbanken im Netz. Besonders betroffen sind ElasticSearch, eine Open-Source-Suchmaschine, die auf die Ablage von Dokumenten in einem No-SQL-Format spezialisiert ist, sowie MongoDB-Datenbanken. Dabei geht es den Angreifern offenbar nicht darum, Datenbankinhalte wegzusperren und damit Geld zu erpressen.

Der Bot durchsucht vielmehr Cloud-Infrastrukturen von Amazon, Google und Microsoft. Findet er eine ungesicherte Datenbank, überschreibt er sämtliche dort abgelegten Daten mit Zufallszahlen und hinterlässt als Abschiedsgruß ein freundliches "meow".

"Meow": Tausende Datenbanken zerstört

Entdeckt hat den Schädling der Security-Experte Volodymyr Bob Diachenko. Die Malware platziere eine zufälligen Zahlenreihe, twitterte Diachenko am 20. Juli:

Wie verschiedene Suchindices im Web anzeigen, hat "Meow" bereits mehrere tausend Datenbanken zerstört. Sicherheitsexperten beobachten , dass sich die Angriffe auch auf andere Datenplattformen ausdehnen wie zum Beispiel Redis-Datenbanken, Jenkins Server und Hadoop-Instanzen.

So funktioniert ein SQL-Injection-Angriff auf Ihre Datenbank

In den betroffenen ElasticSearch-Clustern seien weder kostenlose noch kostenpflichtige Sicherheitsfunktionen aktiviert gewesen, zitiert "TechTarget" die Verantwortlichen von ElasticSearch. Sie gingen nicht davon aus, dass Cluster mit aktivierten Sicherheitsfunktionen beeinträchtigt wurden. Ein Sprecher von MongoDB sagte dem Online-Magazin: "Bei den betroffenen Instanzen handelt es sich nicht um Instanzen von MongoDB Enterprise Advanced oder MongoDB Atlas, sondern um frei herunterladbare und nutzbare Community-Versionen." Standardmäßig werde die MongoDB Datenbank heute mit sicheren Voreinstellungen ausgeliefert.

MongoDB musste Sicherheit erst lernen

MongoDB stand vor einigen Jahren in der Kritik. Studenten aus Saarbrücken hatten 2015 knapp 40.000 frei zugängliche MongoDB-Datenbanken im Netz entdeckt. Grund dafür sei eine falsche Konfiguration bei der Installation gewesen, hieß es damals. Hielten sich damals Nutzer bei der Installation stur an den vorgegebenen Leitfaden, landeten viele Daten frei im Netz. Seit diesem GAU hat der Hersteller seine Sicherheitsroutinen rund um Installation und Konfiguration deutlich nachgeschärft.

MongoDB - was die NoSQL-Datenbank kann

Für "Meow" reichte das offenbar nicht aus. Offenbar laufen immer noch etliche alte Datenbank-Instanzen beziehungsweise Installationen, bei denen Administratoren im Nachhinein Fehler bei der Konfiguration der Datenablage gemacht haben. Zur Sicherheit sollten alle Anwender, die ElasticSearch, MongoDB oder andere einfach zu nutzende Open-Source-Datenbanken einsetzen, die damit verbundenen Sicherheitseinstellungen genau prüfen und gegebenenfalls nachjustieren. Denn sonst macht es miau und die Daten sind futsch.