Linux makinelerde çalışan ve zayıf bir şekilde korunan PostgreSQL veritabanları, kripto para korsanlığı yapan saldırganlar tarafından ele geçiriliyor.
Aqua Security araştırmacıları tarafından bir honeypot sisteminde gözlemlenen saldırı, tehdit aktörlerinin erişim kimlik bilgilerini kaba kuvvetle ele geçirmesiyle başlıyor.
Erişim sağlandığında, tehdit aktörü:
- Oturum açma yeteneği ve yüksek ayrıcalıklara sahip yeni bir kullanıcı rolü oluşturur
- Kullanıcının rolünü tehlikeye attığı kişinin süper kullanıcı ayrıcalıklarını elinden alır (böylece kaba kuvvetle erişim elde edebilecek diğer saldırganların da ayrıcalıkları kısıtlanmış olur)
- Altta yatan sistem hakkında bilgi toplamaya başlar
- Sisteme iki dosya indirmek için kabuk komutlarını çalıştırır
İlk yük olan PG_Core, esas olarak mevcut kullanıcı için cron işlerini kaldırmayı ve diğer kripto madenciliği kötü amaçlı yazılımlarıyla (örneğin Kinsing, WatchDog, TeamTNT) ilgili işlemleri öldürmeyi amaçlamaktadır.
Aqua’nın Nautilus araştırma ekibinin baş veri analisti Assaf Morag, “Tehdit aktörü, kendisine ve başkalarına yönelik tarihi saldırıları durduruyor, bu da rakipleri hakkında bazı istihbaratlara sahip olduğunu gösteriyor” dedi.
“Son olarak, tehdit aktörü savunmaları (hacim tabanlı tarayıcılar gibi) atlatmak için ‘pg_core’ ikili dosyası ve ‘ps_stat_good’ gibi kötü amaçlı yazılım günlüklerini siler.”
Saldırı ilerlemesi (Kaynak: Aqua Security)
İndirilen ve dağıtılan ikinci yük – PG_Mem – XMRIG kripto madencisini içeren ve onu sistemde depolayan bir Linux dropper’ıdır.
“Kripto madencisi (…) ‘silindi’ argümanıyla yürütülüyor ve ayrıca tehdit aktörü, yürütme işlemiyle bir cron işi oluşturuyor pg_mem ve boş bir değer ekler pg_hba “Yapılandırma dosyası” diye ekledi.
Potansiyel hedeflerden oluşan geniş bir havuz
PostgreSQL, yaygın olarak kullanılan açık kaynaklı ilişkisel veritabanı yönetim sistemidir (RDBMS). Genellikle bulutta, Kubernetes ortamlarında ve kuruluşların kendi şirket içi altyapılarında dağıtılmış olarak bulunur.
İnternete açık PostgreSQL veritabanları fırsatçı kripto para korsanlığı gruplarının ve ara sıra gaspçıların favori hedefidir. Genellikle gevşek güvenlikten (örneğin, zayıf parolalar) veya yanlış yapılandırmalardan (örneğin, PostgreSQL’i herkese açık olan da dahil olmak üzere tüm ağ arayüzlerine bağlayan varsayılan bir yapılandırma) faydalanırlar.
Shodan şu anda 830.000’den fazla açığa çıkmış PostgreSQL veritabanını “görüyor”.
PostgreSQL kurulumlarınızı cryptojacking’e karşı nasıl koruyabilirsiniz?
“PostgreSQL’i doğrudan internete açmak genellikle riskli kabul edilir ve güvenlik endişeleri nedeniyle önerilmez. Ancak bazı kişilerin bunu yapmasının birkaç nedeni vardır,” dedi Morag Help Net Security’ye.
“Bazı kuruluşlar veya bireyler PostgreSQL veritabanlarına farklı konumlardan veya farklı hizmetler aracılığıyla erişmeye ihtiyaç duyabilir ve bu da doğrudan internete maruz kalmayı uygun hale getirir. Ve bazen geliştiriciler, güvenlik etkisini düşünmeden geliştirme veya test sırasında bir PostgreSQL sunucusunu geçici olarak açığa çıkarırlar.”
Bazı kullanıcılar, varsayılan yapılandırmaların yeterli olduğunu varsayarak, uygun güvenlik önlemlerini uygulamadan PostgreSQL sunucularını kuruyor, diye ekledi. Ayrıca, karmaşıklık ve maliyet, küçük işletmelerin veya sınırlı kaynaklara sahip bireylerin VPN’ler, SSH tünelleri veya ters proxy’ler gibi güvenli erişim yöntemleri kurmasını engelliyor.
“PostgreSQL veritabanlarına erişimi güvence altına almak için, erişimi kısıtlamak için güvenlik duvarları, VPN’ler veya SSH tünelleri kullanarak güçlü ağ güvenliği uygulayın ve tüm kullanıcıların güçlü parolalara sahip olduğundan emin olun. Denetim günlükleri, saldırı tespit sistemleri ve güvenli yedeklemeler kullanın. Ek olarak, gereksiz özellikleri devre dışı bırakın ve uygulamalarda SQL enjeksiyonuna karşı koruma sağlayın,” diye tavsiyede bulunuyor.
PostgreSQL iş yüklerinin güvenliğini sağlamaya yönelik ek en iyi uygulamalara buradan ulaşabilirsiniz.