Сотни тысяч баз данных Elasticsearch находятся в свободном доступе без защиты
Life-Hack [Жизнь-Взлом]/ХакингElasticsearch - поисковый движок, он организует эффективный поиск в базе данных. По умолчанию, у этой базы данных нет системы защиты, проверить это крайне просто.
Spyse.com - кибер-поисковик для быстрого исследования цели.
Послужит альтернативой существующим сканерам и Kali Linux тулам (recon ng, masscan...).
Специалисты Spyse.com просканировали порт 9200 (на котором работает Elasticsearch) по всей сети. В середине июня 2020 обнаружили 436.83 Тб данных, которые хранятся в открытом доступе. Среди компаний, чьи данные оказались в открытом доступе оказались: Amazon, Digital Ocean, Google, Microsoft, ESPN.
Утекшие данные содержат конфиденциальная информация пользователей (пароли, электронные письма, имена, телефоны, адреса и т. д.), Бизнес-данные (доходы, расходы...), адреса биткоинов и все остальное, что может храниться в базах данных. Это означает, что данные могли быть любого характера. Например, вот что было найдено в полях данных Amazon:
"fields_list": [ "auth_user", "auth_user.company_id", "auth_user.country", "auth_user.country.address_format_id", "auth_user.country.country_name", "auth_user.country.country_name.keyword", "auth_user.country.ebay_countrycode", "auth_user.country.ebay_countrycode.keyword", "auth_user.email", "auth_user.email.keyword", "auth_user.first_name", "auth_user.first_name.keyword", "auth_user.is_active", "auth_user.is_staff", "auth_user.is_superuser", "auth_user.issuperadmin", "auth_user.last_name", "auth_user.last_name.keyword", "auth_user.password", "auth_user.password.keyword", "auth_user.reset_password", "auth_user.reset_password.keyword", "email", "email.keyword", "first_name", "first_name.keyword", "gender", "gender.keyword", "last_name", "last_name.keyword", "orders", "phone", "phone.keyword", "tab_id", "tab_id.keyword", "tab_name", "tab_name.keyword", "tab_parent_id", "tab_parent_id.keyword", "tin", "tin.keyword", "totalorder",
Самые популярные просочившиеся индексы баз данных называются Readme, Kibana или nightlionsecurity.com. Последней, вероятно, является компания, которая рекламирует свою оборонную службу.
На момент сканирования 4.1% найденных баз данных уже были взломаны с требованием выкупа.
Благодаря связыванию данных, Spyse предоставляет легкий reverse IP lookup, показывает IP с привязкой к компании и стране.
Топ 3 наиболее уязвленных стран:
Китай - 5468
США - 4256
Германия- 1070
Топ 10 наиболее уязвимых организаций и количество уязвимых серверов
Hangzhou Alibaba Advertising Co.,Ltd. - 2478
Amazon.com, Inc. - 1933
DigitalOcean, LLC - 1332
Google LLC - 1203
Shenzhen Tencent Computer Systems Company Limited - 910
OVH SAS - 825
Microsoft Corporation - 745
Hetzner Online GmbH - 336
Linode, LLC - 321
China Unicom Beijing Province Network - 236
Потенциал таких данных безграничный. Они могут быть использованы хакерами в мошенничестве, продаже этих данных в darknet или просто могут быть залочены с требованием выкупа.
Как найти базы данных с помощью Spyse
Найти подобную информацию может даже не технический специалист используя Spyse и инструмент Advanced search.
Алгоритм поиска:
Нажмите кнопку Advanced search на главной странице, > IP hosts > Ports & Technologies > Opened Ports List > equals to > 9200 (port number)
Таким образом, мы получим все IP с базами Elasticsearch. Чтобы убедиться в этом, можно использовать простой Get запрос, ответ покажет действительно ли это база данных.
Еще есть показатель уязвимостей Spyse score. После анализа собранных данных, Spyse проводит сравнение таргета с базой данных CVE. Так по каждому IP можно узнать наличие уязвимостей и их критичность.
Ссылка на сервис
Более подробно о сканировании команда Spyse рассказала тут.
А здесь информация о поиске уязвимостей по CVE.
