83億條記錄泄露,運營商Elasticsearch數據庫被脫機
據外媒報道,泰國移動運營商 Advanced Info Service (AIS) 子公司 Advanced Wireless Network (AWN) 控制的 Elasticsearch 數據庫可被公開訪問,數據庫中包含了約 83 億記錄,數據體量約為 4.7 TB,每 24 小時增加 2 億記錄。
根據 BinaryEdge 的數據顯示,Elasticsearch 數據庫于 2020 年 5 月 1 日首次被公開訪問,5 月 7 日,安全研究員 Justin Paine 發現該數據庫可公開訪問。Justin Paine 表示:“這不是未經身份驗證就暴露給 Internet 的單個服務器。我找到的主數據庫分布在三個 Elasticsearch 節點組成的集群,另外,我還找到了第四個包含相似數據的 Elasticsearch 數據庫。”
據了解,該數據庫的數據量處于一直不斷增長的情況,每 24 小時會添加大約 2 億行新數據。截至 2020 年 5 月 21 日,數據庫中共存儲了 8336189132 條記錄,數據是 NetFlow 數據和 DNS 查詢日志的組合。
奇怪的是,DNS 查詢僅記錄了 8 天(2020 年 4 月 30 日到 2020 年 5 月 7 日),共捕獲了 3376062859 個 DNS 查詢日志,每秒記錄 2538 個 DNS 事件,但不知出于何種原因,8天之后攻擊者突然停止了記錄 DNS 查詢。
1.泄露的數據有何影響?
據了解,在整個數據庫暴露期間,NetFlow 數據一直在被捕獲,泄露的數據中有 50 億行數據是 NetFlow 數據,以每秒 3200 個事件的速率被記錄。
注:NetFlow 是思科公司開發的一種網絡協議,用于收集 IP 流量信息和監控網絡流量。通過對流量數據的分析,可以建立網絡流量和流量的圖像。
NetFlow 數據泄露有何影響呢?NetFlow 信息記錄了哪個源 IP 將不同類型的流量發送到一個特定的目標 IP,以及傳輸了多少數據。以下圖為例,這是對目標 IP 地址的 HTTPS (TCP 端口 443) 請求,我們對目標 IP 進行反向 DNS 查找,就可以快速識別此人將使用 HTTPS 的網站。
簡單來說,通過這些泄露的NetFlow數據,我們可以判斷出該 IP 所有者及家人的相關信息,包括擁有多少設備、設備的型號、使用過哪些軟件、訪問了哪些社交網站等等。
(上圖是 DNS 查詢獲得的數據)
2. 如何避免這種情況呢?
相信很多人也發現了,這次發生泄露的數據庫又是 Elasticsearch。由于不少開發人員及其團隊在認知上更多地把 Elasticsearch 看成是與 MySQL 同等的存儲系統,所以在部署以后并沒有太多地關心其訪問控制策略和數據安全,而且 Elastisearch 開箱即用的特點也讓開發和運維人員放松了對安全的重視,所以 Elasticsearch 數據泄露的比例很高。
如何避免呢?其實這也是個老生常談的問題了,我們曾多次建議大家采取以下措施:
- 服務器必須要有防火墻,不能隨意對外開放端口;
- Elasticsearch 集群的端口包括 TCP 和 HTTP,都不能暴露在公網;
- Elasticsearch 集群禁用批量刪除索引功能;
- Elasticsearch 中保存的數據要做基本的脫敏處理;
- 加強監控和告警,能夠在安全事件發生的第一時間感知并啟動緊急預案,將損失降到最低。
另外,由于這次泄露的數據主要是 NetFlow 數據,所以也需要針對此做出措施。ISP 收集 NetFlow 數據是無法避免的,它們會跟蹤連接的來源和流量的目的地,但是 DNS 查詢日志問題是可以解決的,建議使用 DoH 和 DoT 來保護 DNS 通信。據了解,目前 Mozilla Firefox、谷歌 Chrome、Internet Explorer Edge、Android 都支持 DoH 和 DoT,微軟的 Windows 10 也將很快支持。
