据外媒报道,泰国移动运营商AdvancedInfoService(AIS)旗下子公司AdvancedWirelessNetwork(AWN)控制的Elasticsearch数据库可公开访问。包含约83亿条记录,数据量约4.7TB,每24小时新增2亿条记录。根据BinaryEdge的数据,Elasticsearch数据库于2020年5月1日首次公开访问,5月7日,安全研究员JustinPaine发现该数据库可以公开访问。JustinPaine说:“这不是未经身份验证就暴露在互联网上的单个服务器。我发现的主数据库分布在一个由三个Elasticsearch节点组成的集群中,我还发现了第四个Elasticsearch数据库,其中包含类似的数据。”据了解,数据库的数据量在不断增长,每24小时新增数据约2亿行。截至2020年5月21日,数据库共存入8336189132条记录,数据为NetFlow数据和DNS查询日志的组合。奇怪的是,DNS查询只记录了8天(2020年4月30日到2020年5月7日),一共抓取了3376062859条DNS查询日志,每秒记录了2538条DNS事件,但是到底是什么原因呢,原因是之后8天攻击者突然停止记录DNS查询。1.数据泄露有什么影响?据了解,在整个数据库曝光期间,NetFlow数据均被抓取,泄露数据中有50亿行数据为NetFlow数据,记录速度为每秒3200个事件。注:NetFlow是Cisco开发的一种网络协议,用于收集IP流量信息并监控网络流量。通过对流量数据的分析,可以构建网络流量和流量图。NetFlow数据泄露的影响是什么?NetFlow信息记录了哪些源IP向特定目标IP发送了不同类型的流量,以及传输了多少数据。以下图为例,这是对目标IP地址的HTTPS(TCP端口443)请求,我们可以对目标IP进行DNS反向查询,就可以快速识别出此人将使用HTTPS的网站。简单来说,通过这些泄露的NetFlow数据,我们可以确定IP所有者及其家人的相关信息,包括他拥有多少台设备、设备型号、使用过哪些软件、访问过哪些社交网站、等等。(上图为DNS查询得到的数据)2、如何避免这种情况?相信很多人也发现了,这次泄露的数据库又是Elasticsearch。由于很多开发者和他们的团队在认知上将Elasticsearch看作是一个等同于MySQL的存储系统,部署后并没有过多关注其访问控制策略和数据安全,而Elastisearch开箱即用的应用特性也使得开发而运维人员放松了对安全的重视,所以Elasticsearch数据泄露的比例非常高。如何避免?其实这是一个老生常谈的问题。我们一再建议您采取以下措施:服务器必须有防火墙,不能随意对外开放端口;Elasticsearch集群的端口,包括TCP和HTTP,不能暴露在公网;Elasticsearch集群禁用批量删除索引功能;存储在Elasticsearch中的数据的基本脱敏;加强监测预警,能够在安全事件第一时间发现并启动应急预案,最大限度减少损失。另外,由于本次泄露的数据主要是NetFlow数据,因此也需要对此采取措施。ISP收集NetFlow数据是不可避免的,他们跟踪连接的来源和流量的目的地,但DNS查询日志问题是可以解决的,建议使用DoH和DoT来保护DNS通信。据了解,目前MozillaFirefox、GoogleChrome、InternetExplorerEdge、Android都支持DoH和DoT,微软的Windows10也即将支持。
