La empresa de ciberseguridad Imperva ha anunciado que su sistema gestor de bases de datos de señuelos, StickyDB, ha destapado una campaña de malware para minar Monero utilizando servidores PostgreSQL, uno de los sistemas gestores de bases de datos Open Source más conocidos.
Mediante la utilización del buscador Shodan, se ha destapado que hay casi 710.000 servidores PostgreSQL afectados. El motivo de este gran impacto parece basarse en la pobre seguridad de muchas de las implementaciones en uso, sobre todo las que se puede encontrar en Amazon Web Services (AWS), que aparentemente permite configurarlos sin seguridad adicional.
Para esparcir el minero malicioso, los actores tras la campaña están utilizando una fotografía de la conocida actriz Scarlett Johansson con una carga maliciosa en su interior. Una vez que la víctima haya descargo la imagen, el malware entra en acción para llevar a cabo un ataque de fuerza bruta y conseguir así implantarse en el servidor PostgreSQL. Debido a que las instancias de este SGBD no deberían de estar en primer lugar accesibles desde Internet, posiblemente esto se deba que tampoco se tomaron medidas de protección. Una vez comprometido el servidor, se pueden invocar órdenes de shell en Unix o Linux para instalar el minero de Monero.
Además de minar, el programa malicioso intenta extenderse hacia otros objetivos mientras permanece “oculto”, cosas a las que se suma la comprobación de acceso a la GPU para aprovechar esos recursos, aunque en su defecto minará utilizando la CPU. Una vez se haya puesto el funcionamiento, el minero dispará el consumo de CPU.
Imperva recomienda seguir los siguientes consejos:
- Tener cuidado con las llamadas directa de PostgreSQL a lo_export o llamadas indirectas a través de entrada en pg_proc.
- Tener cuidado con las funciones de PostgreSQL que invocan binarios compilados desde el lenguaje de programación C.
- Utilizar un firewall para bloquear el tráfico de red saliente desde el servidor de base de datos hacia Internet.
- Asegurarse de que la base de datos no esté asignada a una dirección de IP pública. En caso de ser así, restringir el acceso solo a los hosts que interaccionan con él, como el servidor de aplicaciones o lo clientes perteneciente al administrador de bases de datos.