Плохо защищенные базы данных PostgreSQL работающие на Linux-машинах, подвергаются атакам злоумышленников, использующих криптоджекинг.
Атака, которую исследователи Aqua Security наблюдали в системе honeypot, начинается с перебора учетных данных доступа.
Как только доступ получен, хакер:
- Создает новую роль пользователя с возможностью входа в систему и высокими привилегиями.
- Лишает скомпрометированную роль пользователя привилегий суперпользователя (чтобы другие злоумышленники, которые также могут получить доступ методом перебора, имели ограниченные привилегии)
- Начинает сбор информации о базовой системе
- Выполнение команд оболочки для загрузки двух файлов в систему
Первая полезная нагрузка PG_Core – в основном направлена на удаление заданий cron для текущего пользователя и уничтожение процессов, связанных с другими вредоносными программами для криптомайнинга (например, Kinsing, WatchDog, TeamTNT).
Вторая загруженная и развернутая полезная нагрузка PG_Mem – представляет собой Linux-дроппер, который содержит криптомайнер XMRIG и сохраняет его в системе.
Широкий круг потенциальных целей
PostgreSQL – это широко используемая система управления реляционными базами данных (СУБД) с открытым исходным кодом. Ее часто можно встретить развернутой в облаке, среде Kubernetes и собственной локальной инфраструктуре.
Открытые для доступа в Интернет базы данных PostgreSQL являются излюбленной целью групп криптоджекеров и, иногда, вымогателей. Обычно они используют слабую защиту (например, слабые пароли) или неправильную конфигурацию (например, конфигурацию по умолчанию, которая привязывает PostgreSQL ко всем сетевым интерфейсам, включая публичный).
В настоящее время Shodan «видит» более 830 000 открытых баз данных PostgreSQL.
Как защитить установку PostgreSQL от криптоджекинга?
«bq. Вывод PostgreSQL в Интернет считается рискованным и не рекомендуется по соображениям безопасности. Однако есть несколько причин, по которым некоторые люди могут это сделать. Некоторым организациям или частным лицам может потребоваться доступ к базам данных PostgreSQL из разных мест или через разные сервисы, поэтому прямое подключение к Интернету кажется удобным. А иногда разработчики временно открывают сервер PostgreSQL во время разработки или тестирования, не задумываясь о последствиях для безопасности
- сказал Мораг в интервью Help Net Security
Некоторые пользователи настраивают свой сервер PostgreSQL без применения надлежащих мер безопасности, полагая, что стандартных конфигураций достаточно, добавил он. Кроме того, сложность и стоимость не позволяют малым предприятиям или частным лицам с ограниченными ресурсами устанавливать безопасные методы доступа, такие как VPN, SSH-туннели или обратные прокси.
«Чтобы защитить доступ к базам данных PostgreSQL, обеспечьте надежную сетевую безопасность используя брандмауэры, VPN или SSH-туннели для ограничения доступа, и убедитесь, что у всех пользователей есть надежные пароли. Используйте журналы аудита, системы обнаружения вторжений и безопасное резервное копирование Кроме того, отключите ненужные функции и защитите приложения от SQL-инъекций»
Дополнительные рекомендации по защите PostgreSQL можно найти здесь.
Комментарии (0)