Menú

Consiguen minar Monero en Servidores PostgreSQL con una imagen manipulada

No es la primera vez que se utiliza una imagen para dar malware a una víctima, pero puede ser la primera vez que se usa de forma tan restringida. Según la firma de seguridad Imperva, su honeypot del sistema de administración de bases de datos StickyDB (DBMS) ha descubierto un ataque que coloca malware, que cryptomines Monero, en servidores PostgreSQL DBMS. ¿Su vector de ataque? Una imagen de la estrella de Hollywood Scarlett Johansson.

Mediante la utilización del buscador Shodan, se ha destapado que hay casi 710.000 servidores PostgreSQL afectados. El motivo de este gran impacto parece basarse en la pobre seguridad de muchas de las implementaciones en uso, sobre todo las que se puede encontrar en Amazon Web Services (AWS), que aparentemente permite configurarlos sin seguridad adicional.

Para esparcir el minero malicioso, los actores tras la campaña están utilizando una fotografía de la conocida actriz Scarlett Johansson con una carga maliciosa en su interior. Una vez que la víctima haya descargo la imagen, el malware entra en acción para llevar a cabo un ataque de fuerza bruta y conseguir así implantarse en el servidor PostgreSQL. Debido a que las instancias de este SGBD no deberían de estar en primer lugar accesibles desde Internet, posiblemente esto se deba que tampoco se tomaron medidas de protección. Una vez comprometido el servidor, se pueden invocar órdenes de shell en Unix o Linux para instalar el minero de Monero.

Además de minar, el programa malicioso intenta extenderse hacia otros objetivos mientras permanece “oculto”, cosas a las que se suma la comprobación de acceso a la GPU para aprovechar esos recursos, aunque en su defecto minará utilizando la CPU. Una vez se haya puesto el funcionamiento, el minero dispará el consumo de CPU.

Recomendaciones:

  • Tener cuidado con las llamadas directa de PostgreSQL a lo_export o llamadas indirectas a través de entrada en pg_proc
  • Tener cuidado con las funciones de PostgreSQL que invocan binarios compilados desde el lenguaje de programación C.
  • Utilizar un firewall para bloquear el tráfico de red saliente desde el servidor de base de datos hacia Internet.
  • Asegurarse de que la base de datos no esté asignada a una dirección de IP pública. En caso de ser así, restringir el acceso solo a los hosts que interaccionan con él, como el servidor de aplicaciones o lo clientes perteneciente al administrador de bases de datos.