Istraživači kibernetičke sigurnosti raspakovali su novi soj malicioznog softvera nazvan PG_MEM koji je dizajniran za rudarenje kriptovalute nakon što je grubo ušao u instance PostgreSQL baze podataka.
“Napadi grube sile na Postgres uključuju uzastopne pokušaje da se pogode kredencijali baze podataka dok se ne dobije pristup, iskorištavanje slabih lozinki”, rekao je istraživač Aqua sigurnosti Assaf Morag u tehničkom izvještaju.
“Jednom kada im se pristupi, napadači mogu iskoristiti naredbu COPY… FROM PROGRAM SQL da izvrše proizvoljne naredbe ljuske na hostu, omogućavajući im da izvode maliciozne aktivnosti kao što su krađa podataka ili postavljanje malicioznog softvera.”
Lanac napada koji je posmatrala firma za bezbjednost u oblaku podrazumijeva ciljanje pogrešno konfigurisanih PostgreSQL baza podataka kako bi se stvorila uloga administratora u Postgresu i iskorištavanje funkcije zvane PROGRAM za pokretanje komandi ljuske.
Osim toga, uspješan napad grubom silom prati hakere koji provodi početno izviđanje i izvršava komande da oduzme “postgres” korisniku dozvole superkorisnika, čime se ograničavaju privilegije drugih hakera koji bi mogli dobiti pristup putem iste metode.
Komande ljuske su odgovorne za izbacivanje dva tereta sa udaljenog servera (“128.199.77[.]96”), naime PG_MEM i PG_CORE, koji su u stanju da prekinu konkurentske procese (npr. Kinsing ), podese postojanost na hostu, i na kraju implementaciju rudara kriptovaluta Monero.
Ovo se postiže korištenjem PostgreSQL naredbe zvane COPY, koja omogućava kopiranje podataka između datoteke i tabele baze podataka. Posebno oružuje parametar poznat kao PROGRAM koji omogućava serveru da pokrene proslijeđenu komandu i zapiše rezultate izvršenja programa u tabelu.
“Dok je [rudarstvo kriptovalute] glavni uticaj, u ovom trenutku napadač takođe može da pokreće komande, pregleda podatke i kontroliše server”, rekao je Morag.
“Ova kampanja iskorištava Postgres baze podataka koje se suočavaju s internetom sa slabim lozinkama. Mnoge organizacije povezuju svoje baze podataka s internetom, slaba lozinka je rezultat pogrešne konfiguracije i nedostatka odgovarajućih kontrola identiteta.”
Izvor: TheHackerNews
