2020’den bu yana güvenli olmayan veritabanlarını harap eden meşhur Meow saldırısı, MAD-CAT (Meow Attack Veri Yolsuzluk Otomasyon Aracı) aracılığıyla yenilenmiş bir güçle yeniden ortaya çıktı.
Bu özel olarak oluşturulmuş rakip simülasyon aracı, saldırganların aynı anda birden fazla veritabanı platformundaki verileri ne kadar kolay bozabileceğini göstererek, modern altyapıyı rahatsız etmeye devam eden kritik bir güvenlik açığını vurguluyor.
Miyav’ın Evrimi
Miyav saldırısı olayları 2020’de zirveye ulaşırken, Shodan aramaları hala bozuk verilere eklenen “-MEOW” imzasını taşıyan rastgele alfasayısal dizeleri taşıyan düzinelerce ele geçirilmiş veritabanını ortaya çıkarıyor.
Güvenlik araştırmacıları artık bu saldırıları altı gerçek veritabanı platformunda kapsamlı bir şekilde simüle etmek için MAD-CAT’i geliştirdi: MongoDB, Elasticsearch, Cassandra, Redis, CouchDB ve Hadoop HDFS.
Tek hedefli istismara odaklanan öncülünden farklı olarak MAD-CAT, saldırganların koordineli saldırılarla tüm veritabanı ekosistemlerini bozmasına olanak tanıyan toplu CSV tabanlı kampanyalar sunuyor.
Bu, savunmacıların tek hedefli saldırıların sağladığı sıralı tespit fırsatlarını kaybettiği saldırı metodolojisinde önemli bir artışı temsil ediyor.
MAD-CAT Nasıl Çalışır?
MAD-CAT sistematik dört aşamalı bir iş akışıyla çalışır. Araç ilk olarak hedef veritabanlarına kimlik bilgisi olmayan (kimliği doğrulanmamış hedefler için) veya kimlik bilgisi verilen (zayıf/varsayılan kimlik bilgileri için) modlarda bağlanır.
Daha sonra tüm veritabanlarını ve koleksiyonları sıralarken, operasyonel veriler üzerindeki etkiyi en üst düzeye çıkarmak için sistem veritabanlarını kasıtlı olarak hariç tutar.
Bozulma aşaması tüm kayıtları getirir ve dize ve sayısal alanları sistematik olarak on karakterlik rastgele alfasayısal dizelerle ve ardından 2020 saldırı imzasını tam olarak yansıtan “-MEOW” ile değiştirir.
Aracın modüler mimarisi, araştırmacıların çekirdek çerçeve kodunu değiştirmeden yeni platformlar için destek eklemesine olanak tanıyan bir fabrika modeli kullanıyor.
MAD-CAT kullanan simülasyonlar, kurumsal ortamlardaki felaket potansiyelini ortaya koyuyor.
Altı veritabanı platformunun tamamını kapsayan bir sağlık hizmeti senaryosunda, saldırı aynı anda hasta kayıtlarını bozacak (MongoDB), klinik arama yeteneklerini ortadan kaldıracak (Elasticsearch), tıbbi cihazlardan IoT telemetrisini yok edecek (Cassandra), aktif kullanıcı oturumlarını geçersiz kılacak (Redis), hasta portalı erişimini ortadan kaldıracak (CouchDB) ve faturalandırma ve uyumluluk kayıtlarını (Hadoop HDFS) yok edecek.
Bu koordineli saldırı, savunucuların modern saldırılarda karşılaştığı durumu temsil ediyor: sıralı istismarlar değil, tüm kuruluşu birkaç dakika içinde felce uğratabilecek senkronize, çok platformlu veri imhası.
Shodan trend analizi olumlu bir gelişmeyi ortaya koyuyor. Elasticsearch’ün uzlaşmaları 2020 sonlarında 13.000’den Eylül 2025’e kadar sadece yediye düştü; bu da %85’lik bir azalma anlamına geliyor.
MongoDB bulut sunucularının sayısı 6.000’den 26’ya düşerken, CouchDB’nin sayısı 280’den güvenliği ihlal edilmiş üç vakaya düştü. Bu, daha yeni veritabanı sürümlerinde zorunlu kimlik doğrulama ve artan güvenlik farkındalığı yoluyla sektörün tepkisini yansıtıyor.
Ancak, ele geçirilen örneklerin ilk kampanyadan beş yıl sonra da devam etmesi, güvenliğin dengesiz kaldığını gösteriyor. Eski sistemler ve kurumsal ihmaller güvenlik açığı pencereleri oluşturmaya devam ediyor.
Miyav dersi netliğini koruyor: yanlış yapılandırma öldürür. Kuruluşların kimlik doğrulamasını varsayılan olarak zorunlu tutması, kimlik bilgilerini düzenli olarak döndürmesi, veritabanı erişimini bölümlere ayırması ve kapsamlı yedeklemeler sağlaması gerekir.
Güvenlik açığı tespiti, varsayılan kimlik bilgileri tanımlama ve yama doğrulaması sunan güvenlik çözümleri, benzer saldırılara karşı temel savunma katmanları sağlar.
Tehdit ortamı geliştikçe MAD-CAT, iyi belgelenmiş saldırı vektörlerinin, yetersiz güvenlikli altyapı yoluyla mağdur olmaya devam ettiğinin düşündürücü bir hatırlatıcısı olarak hizmet ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.