22 de agosto de 2024Ravie LakshmananSeguridad de bases de datos / CriptomonedasLos investigadores de ciberseguridad han descubierto una nueva cepa de malware denominada PG_MEM que está diseñada para extraer criptomonedas después de abrirse paso por la fuerza bruta en las instancias de la base de datos PostgreSQL. «Los ataques de fuerza bruta en Postgres implican intentar adivinar repetidamente las credenciales de la base de datos hasta obtener acceso, explotando contraseñas débiles», dijo el investigador de seguridad de Aqua, Assaf Morag, en un informe técnico. «Una vez que se accede, los atacantes pueden aprovechar el comando COPY … FROM PROGRAM SQL para ejecutar comandos de shell arbitrarios en el host, lo que les permite realizar actividades maliciosas como el robo de datos o la implementación de malware». La cadena de ataques observada por la empresa de seguridad en la nube implica apuntar a bases de datos PostgreSQL mal configuradas para crear un rol de administrador en Postgres y explotar una función llamada PROGRAM para ejecutar comandos de shell. Además, después de un ataque de fuerza bruta exitoso, el actor de amenazas realiza un reconocimiento inicial y ejecuta comandos para despojar al usuario «postgres» de los permisos de superusuario, restringiendo así los privilegios de otros actores de amenazas que podrían obtener acceso a través del mismo método. Los comandos de shell son responsables de descargar dos cargas útiles desde un servidor remoto («128.199.77[.]96»), a saber, PG_MEM y PG_CORE, que son capaces de terminar procesos en competencia (por ejemplo, Kinsing), configurar la persistencia en el host y, en última instancia, implementar el minero de criptomonedas Monero. Esto se logra haciendo uso de un comando PostgreSQL llamado COPY, que permite copiar datos entre un archivo y una tabla de base de datos. En particular, utiliza un parámetro conocido como PROGRAM que permite al servidor ejecutar el comando pasado y escribir los resultados de la ejecución del programa en la tabla. «Mientras [cryptocurrency mining] «El principal impacto es que en este punto el atacante también puede ejecutar comandos, ver datos y controlar el servidor», dijo Morag. «Esta campaña está explotando bases de datos Postgres que dan a Internet con contraseñas débiles. Muchas organizaciones conectan sus bases de datos a Internet, las contraseñas débiles son el resultado de una configuración incorrecta y la falta de controles de identidad adecuados». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.