争议的PostgreSQL错误被利用在加密僵尸网络中
新发现的基于Linux的加密电脑挖掘机僵尸网络在PostgreSQL中开发了争议的远程代码执行(RCE)漏洞 - 2018年首次公开,最初分配了CVE-2019-9193 - 以损害数据库服务器并将其与挖掘网络共享到挖掘网络中,Palo Alto Networks 42队的研究人员说。
被萧张,杨吉,吉姆菲茨吉尔达,悦辰和克拉夫肖的研究小组被称为PGMiner,僵尸网络被认为是有史以来第一个通过PostgreSQL提供的加密僵尸网络。该团队表示,恶意演员已经开始武器武器而不只是确认CVES,而是有争议的人。
PostgreSQL是生产环境中最广泛使用的开源关系数据库管理系统之一,先前已经指出,CVE-2019-9193是“不是安全漏洞”,并且很可能归档错误。
CVE-2019-9193 Centers of Copy to / from Program函数,可以允许超级用户和用户在“ph_execute_server_program”组中在数据库的操作系统用户的上下文中执行任意代码 - 默认情况下启用此功能,并且可以滥用在Windows,Linux和MacOS上运行任意操作系统(OS)命令。
但是,根据PostgreSQL,这不是一个问题,因为该功能正按预期工作。通过设计,它说,数据库超级用户和服务器运行的操作系统之间没有安全边界,因此,通过设计,PostgreSQL服务器可能无法作为OS超级用户运行。
“我们鼓励PostgreSQL的所有用户遵循最佳实践,以便永远不要授予超级用户访问远程或其他不受信任的用户。这是系统管理中遵循的标准安全操作步骤,并扩展到数据库管理,“该公司当时表示。
“根据漏洞定义该功能的主要参数是,只要没有授予远程或不受信任的用户,访问控制和认证系统运行良好,所以只要超级用户权限和良好的效果很好,”特征本身就不会强加风险,“写入单元42研究团队在披露公告中。
他们继续说:“在另一边,安全研究人员担心此功能确实使PostgresQL成为远程利用和在服务器的操作系统上直接在PostgreSQL软件上直接执行的踏脚石,如果攻击者使用Brute Forcing密码或SQL一起使用超级用户权限注射。
“虽然这个CVE仍然有争议,但恶意制品作者显然已经开始使用它来保持雷达下,通过使攻击有效载荷无用。”
在任何情况下,僵尸网络都能够从程序功能中利用副本下载并启动硬币挖掘脚本。注意当前未被Virustotal检测到,因为它试图连接的挖掘池不再有效。
该团队表示,PGMINER通过利用争议的脆弱性,能够在一段时间内仍然被忽视,如果进一步开发出来可能会受到高度破坏性的,因为PostgreSQL是如此广泛使用,并且额外的努力,它可以用来瞄准所有主要操作系统。可以在线找到进一步的详细信息。
Palo Alto的下一代防火墙的用户已经保护了PGMiner,而其他PostgreSQL用户可以通过删除不受信任的用户的“pg_execute_server_prick权限来缓解该问题。这将使利润不可能。
下一步
思科发现了69%的客户内的加密活动