Bug PostgreSQL contesté exploité dans le botnet cryptomining

Un botnet d’extraction de crypto-monnaies basé sur Linux récemment découvert a exploité une vulnérabilité contestée d’exécution de code à distance (RCE) dans PostgreSQL – divulguée pour la première fois en 2018 et initialement assignée à CVE-2019-9193 – afin de compromettre les serveurs de base de données et de les coopter pour le réseau minier, affirment les chercheurs de l’équipe Unité 42 de Palo Alto Networks.

Surnommé PGMiner par l’équipe de recherche de Xiao Zhang, Yang Ji, Jim Fitzgerald, Yue Chen et Claud Xiao, le botnet est considéré comme le premier botnet cryptomining livré via PostgreSQL jamais détecté. L’équipe a déclaré qu’il était remarquable que les acteurs malveillants avaient commencé à armer non seulement les CVE confirmés, mais les acteurs contestés.

PostgreSQL, l’un des systèmes de gestion de bases de données relationnelles open source les plus utilisés pour les environnements de production, a déjà déclaré que CVE-2019-9193 n’est « pas une vulnérabilité de sécurité » et qu’il a probablement été déposé par erreur.

CVE-2019-9193 se concentre sur la fonction copie/à partir du programme qui pourrait permettre aux superutilisateurs et aux utilisateurs du groupe « ph_execute_server_program » d’exécuter du code arbitraire dans le contexte de l’utilisateur du système d’exploitation de la base de données – cette fonctionnalité est activée par défaut et pourrait être abusée pour exécuter des commandes de système d’exploitation arbitraire (OS) sur Windows, Linux et macOs.

Toutefois, selon PostgreSQL, ce n’est pas un problème parce que la fonctionnalité fonctionne comme prévu. Par conception, il est dit, il n’existe pas de limite de sécurité entre un super utilisateur de base de données et le système d’exploitation que le serveur fonctionne sur et en tant que tel, par la conception du serveur PostgreSQL ne peut pas fonctionner comme un superutilisateur OS.

« Nous encourageons tous les utilisateurs de PostgreSQL à suivre les meilleures pratiques qui sont de ne jamais accorder un accès superusier aux utilisateurs distants ou nontrus. Il s’agit d’une procédure d’exploitation de sécurité standard qui est suivie dans l’administration du système et s’étend à l’administration de base de données ainsi », a déclaré le cabinet à l’époque.

« Le principal argument contre la définition de la fonctionnalité en tant que vulnérabilité est que la fonctionnalité elle-même n’impose pas de risque tant que le privilège de surutilisation n’est pas accordé aux utilisateurs distants ou nontrus et que le système de contrôle d’accès et d’authentification fonctionne bien », a écrit l’équipe de recherche d’Unité 42 dans un communiqué de divulgation.

Ils ont poursuivi: « De l’autre côté, les chercheurs en sécurité s’inquiètent que cette fonctionnalité fait effectivement postgreSQL un tremplin pour l’exploitation à distance et l’exécution du code directement sur le système d’exploitation du serveur au-delà du logiciel PostgreSQL, si l’attaquant parvient à posséder le privilège superuser par mot de passe brute de forçage ou injection SQL.

« Alors que ce CVE est toujours contesté, les auteurs de logiciels malveillants ont apparemment commencé à l’utiliser pour rester sous le radar de détection en rendant la charge utile d’attaque sans fichier. »

Dans tous les cas, le botnet a été en mesure d’exploiter la copie de la fonctionnalité du programme pour télécharger et lancer des scripts d’extraction de pièces de monnaie. Notez qu’il n’est pas actuellement détecté par VirusTotal parce que le pool minier auquel il a tenté de se connecter n’est plus actif.

L’équipe a déclaré PGMiner avait été en mesure de passer inaperçu pendant un certain temps en exploitant la vulnérabilité contestée, et si elle a été développée, il pourrait potentiellement être très perturbateur que PostgreSQL est si largement utilisé, et avec des efforts supplémentaires, il pourrait être utilisé pour cibler tous les principaux systèmes d’exploitation. Plus de détails peuvent être trouvés en ligne.

Les utilisateurs du pare-feu de nouvelle génération de Palo Alto sont déjà protégés contre PGMiner, tandis que d’autres utilisateurs de PostgreSQL peuvent atténuer le problème en supprimant le privilège « pg_execute_server_program » des utilisateurs non sécurisés. Cela rendra l’exploit impossible.