Hackers exploram vulnerabilidades em bancos de dados PostgreSQL para Cryptojacking

Bancos de dados PostgreSQL mal configurados em máquinas Linux estão sendo alvo de ataques de cryptojacking, onde hackers exploram vulnerabilidades para minerar criptomoedas.

O ataque, observado por pesquisadores da Aqua Security em um sistema honeypot, começa com os hackers quebrando as credenciais de acesso ao banco de dados. Após obterem acesso, os criminosos:

1. Criam um novo usuário com privilégios elevados e capacidade de login.

2. Revogam os privilégios de superusuário do usuário comprometido, limitando o acesso de outros possíveis invasores.

3. Coletam informações sobre o sistema subjacente.

4. Executam comandos shell para baixar dois arquivos maliciosos no sistema.

O primeiro payload, denominada PG_Core, tem como objetivo principal desativar trabalhos cron do usuário atual e eliminar processos de outros malwares de criptomineração, como Kinsing, WatchDog e TeamTNT. Segundo Assaf Morag, analista de dados líder da equipe de pesquisa Nautilus da Aqua, "o hacker está interrompendo ataques de concorrentes, o que indica conhecimento sobre os outros invasores."

Em seguida, o criminoso exclui arquivos como o binário "pg_core" e registros de malware, como "ps_stat_good", para evitar a detecção por defesas baseadas em volume.

Progressão do ataque (Fonte: Aqua Security)

O segundo payload, PG_Mem, é um dropper Linux que instala o minerador XMRIG no sistema. Além disso, o hacker configura um cron job para executar o pg_mem e insere um valor vazio no arquivo de configuração pg_hba, dificultando ainda mais a detecção.

O PostgreSQL, amplamente utilizado como sistema de gerenciamento de banco de dados relacional (RDBMS) de código aberto, é frequentemente implantado em ambientes na nuvem, Kubernetes e infraestruturas locais. Bancos de dados PostgreSQL expostos à Internet são alvos preferenciais para grupos de hackers que realizam cryptojacking e, ocasionalmente, extorsão. Esses ataques exploram falhas de segurança, como senhas fracas ou configurações incorretas que permitem acesso público.

Atualmente, o Shodan registra mais de 830.000 bancos de dados PostgreSQL expostos na Internet, tornando-os alvos fáceis para esses grupos.

“Expor o PostgreSQL diretamente à Internet é geralmente considerado arriscado e não recomendado devido às preocupações com a segurança,” afirma Morag à Help Net Security. No entanto, ele reconhece que algumas organizações ou desenvolvedores optam por essa exposição por conveniência, especialmente durante o desenvolvimento ou testes, sem considerar as implicações de segurança.

Morag acrescenta que a complexidade e os custos de configurar métodos de acesso seguro, como VPNs, túneis SSH ou proxies reversos, muitas vezes desanimam pequenas empresas ou indivíduos com recursos limitados.

Para proteger bancos de dados PostgreSQL contra cryptojacking, recomenda-se:

• Implementar uma segurança de rede robusta usando firewalls, VPNs ou túneis SSH para restringir o acesso.

• Garantir que todos os usuários utilizem senhas fortes.

• Utilizar registros de auditoria, sistemas de detecção de intrusão e backups seguros.

• Desativar funcionalidades desnecessárias e proteger contra SQL Injection nos aplicativos.

Seguindo essas práticas, é possível reduzir significativamente o risco de comprometer seus bancos de dados PostgreSQL.

Via - HS