Investigadores de ciberseguridad han descifrado una nueva cepa de malware llamada PG_MEM, diseñada para extraer criptomonedas después de introducirse por fuerza bruta en instancias de bases de datos PostgreSQL.
“Los ataques de fuerza bruta a Postgres implican intentos repetidos de adivinar las credenciales de la base de datos hasta obtener acceso, explotando contraseñas débiles”, explica Assaf Morag, investigador de seguridad de Postgres en Aqua. dicho en un informe técnico.
“Una vez accesible, los atacantes pueden aprovechar la COPIAR… DEL PROGRAMA SQL comando para ejecutar comandos de shell arbitrarios en el host, lo que les permite realizar actividades maliciosas como el robo de datos o la implementación de malware.
La cadena de ataque observada por la empresa de seguridad en la nube implica apuntar a bases de datos PostgreSQL mal configuradas para crear una función de administrador en Postgres y explotar una característica llamada PROGRAMA para ejecutar comandos de shell.
Además, un ataque de fuerza bruta exitoso es seguido por el actor de la amenaza que realiza un reconocimiento inicial y ejecuta comandos para despojar al usuario “postgres” de los permisos de superusuario, limitando así los privilegios de otros actores de la amenaza a los que se podría acceder mediante el mismo método.
Los comandos de shell son responsables de eliminar dos cargas útiles de un servidor remoto (“128.199.77[.]96”), concretamente PG_MEM y PG_CORE, que son capaces de finalizar procesos concurrentes (por ejemplo, Kinsing), configurar la persistencia en el host y, en última instancia, implementar el minero de criptomonedas Monero.
Esto es posible usando un comando de PostgreSQL llamado COPY, que le permite copiar datos entre un archivo y una tabla de base de datos. En particular, utiliza un parámetro llamado PROGRAMA que permite al servidor ejecutar el comando transmitido y escribir los resultados de la ejecución del programa en la tabla.
“Mientras [cryptocurrency mining] “Este es el principal impacto, en este punto el atacante también puede ejecutar comandos, ver datos y controlar el servidor”, dijo Morag.
“Esta campaña explota las bases de datos de Postgres accesibles a través de Internet con contraseñas débiles. Muchas organizaciones conectan sus bases de datos a Internet. Las contraseñas débiles son el resultado de una mala configuración y la falta de controles de identidad adecuados. »