Las bases de datos PostgreSQL mal protegidas que se ejecutan en máquinas Linux están siendo comprometidas por atacantes de cryptojacking.
El ataque, observado por los investigadores de Aqua Security en un sistema honeypot, comienza con los ciberatacantes forzando las credenciales de acceso.
Una vez conseguido el acceso, el autor del ataque:
- Crean un nuevo rol de usuario con capacidad de inicio de sesión y privilegios elevados.
- Elimina los privilegios de superusuario del rol de usuario comprometido (de modo que otros atacantes que también puedan obtener acceso mediante forzamiento brusco tengan privilegios restringidos).
- A continuación, comienza a recopilar información sobre el sistema subyacente.
- Ejecuta comandos de shell para descargar dos archivos en el sistema.
La primera carga útil, PG_Core, está destinada principalmente a eliminar cron jobs para el usuario actual y matar procesos relacionados con otro malware de minería de criptomonedas (por ejemplo, Kinsing, WatchDog, TeamTNT).
«El actor de la amenaza está deteniendo ataques históricos suyos y de otros, lo que demuestra que tiene cierta información sobre sus competidores», explica Assaf Morag, analista jefe de datos del equipo de investigación Nautilus de Aqua.
«Por último, el actor de la amenaza elimina archivos como el binario ‘pg_core’ y registros del malware como ‘ps_stat_good’ para evadir las defensas (como los escáneres basados en volumen)».
El segundo payload descargado y desplegado, PG_Mem, es un dropper de Linux que contiene el cryptominer XMRIG y lo almacena en el sistema.
«El cryptominer (…) se ejecuta con el argumento «deleted» y, además, el actor de la amenaza está creando un cron job con la ejecución de pg_mem e inserta un valor vacío en el archivo de configuración pg_hba».
Un amplio abanico de objetivos potenciales
PostgreSQL es un sistema de gestión de bases de datos relacionales (RDBMS) de código abierto ampliamente utilizado. A menudo se encuentra en la nube, en entornos Kubernetes y en la propia infraestructura local de las organizaciones.
Las bases de datos de PostgreSQL expuestas en Internet son el objetivo favorito de grupos oportunistas de cryptojacking y, en ocasiones, extorsionistas. Normalmente, se aprovechan de una seguridad laxa (por ejemplo, contraseñas débiles) o de configuraciones erróneas (por ejemplo, una configuración por defecto que vincula PostgreSQL a todas las interfaces de red, incluida la pública).
Actualmente, Shodan identifica más de 830 000 bases de datos PostgreSQL expuestas.
¿Cómo proteger sus instalaciones de PostgreSQL contra el cryptojacking?
«Exponer PostgreSQL directamente a Internet se considera generalmente arriesgado y no se recomienda debido a problemas de seguridad. Sin embargo, hay algunas razones por las que algunas personas podrían hacerlo», dijo Morag a Help Net Security.
«Algunas organizaciones o individuos pueden necesitar acceder a sus bases de datos PostgreSQL desde diferentes lugares o a través de diferentes servicios, lo que hace que la exposición directa a Internet parezca conveniente. Y, en ocasiones, los desarrolladores exponen temporalmente un servidor PostgreSQL durante el desarrollo o las pruebas sin considerar las implicaciones de seguridad».
Algunos usuarios configuran su servidor PostgreSQL sin implementar las medidas de seguridad adecuadas, asumiendo que las configuraciones por defecto son suficientes, añadió. Además, la complejidad y el coste impiden que las pequeñas empresas o los particulares con recursos limitados configuren métodos de acceso seguro, como VPN, túneles SSH o proxies inversos.
«Para proteger el acceso a las bases de datos PostgreSQL, implemente una seguridad de red sólida utilizando cortafuegos, VPN o túneles SSH para restringir el acceso, y asegúrese de que todos los usuarios tienen contraseñas seguras. Utilice registros de auditoría, sistemas de detección de intrusos y copias de seguridad seguras. Además, desactive las funciones innecesarias y protéjase contra la inyección SQL en las aplicaciones».